Menggunakan pembaruan sertifikat berbasis Profil di OS X

Versi OS X saat ini mencakup dukungan untuk pembaruan sertifikat yang diperlukan dari profil konfigurasi.

OS X mendukung dua metode pendaftaran sertifikat menggunakan satu profil konfigurasi: Protokol pendaftaran sertifikat sederhana (SCEP), dan DCOM/RPC (ADCertificate). ADCertificate bergantung pada Microsoft Windows Server Certificate Authority (CA). SCEP sering menggunakan Layanan Pendaftaran Perangkat Jaringan Microsoft CA (NDES). 

Mengenai sertifikat

Di OS X, sertifikat yang didapatkan melalui profil dapat diperbarui menggunakan profil yang sama dan telah diinstal. Jika sertifikat berjarak lima belas hari dari tanggal kedaluwarsanya, profil sertifikat di panel Profil pada Preferensi Sistem menampilkan tombol Perbarui:

Pusat Pemberitahuan juga menampilkan spanduk saat tiba waktunya untuk memperbarui (dalam waktu 15 hari dari tanggal kedaluwarsa).

Pemberitahuan ini diulangi sekali sehari hingga sertifikat kedaluwarsa atau tindakan diambil.

Pembaruan ADCertificate

Klik tombol Perbarui di panel Profil pada Preferensi Sistem. Kunci pribadi baru dibuat dan digunakan untuk menandatangani permintaan sertifikat yang dikirimkan ke Certificate Authority (CA). Jika sertifikat baru didapatkan dari CA, sertifikat dipasangkan dengan kunci pribadi yang baru.

Sertifikat asli dan kunci pribadi yang dibuat saat profil diinstal tetap berada di rantai kunci.

Pembaruan SCEP

Klik tombol Perbarui di panel Profil pada Preferensi Sistem. Kunci pribadi lama digunakan untuk menandatangani permintaan sertifikat yang dikirimkan ke Certificate Authority (CA). Jika sertifikat yang diperbarui didapatkan dari CA, sertifikat dipasangkan dengan kunci pribadi yang asli.

Sertifikat asli yang dibuat saat profil diinstal tetap berada di rantai kunci.

Mengonfigurasi Pemberitahuan Pembaruan

Secara default, OS X Yosemite menampilkan pemberitahuan setiap hari saat sertifikat yang diperlukan berjarak 14 hari dari kedaluwarsa. OS X Yosemite menawarkan dua parameter konfigurasi yang dapat mengubah perilaku ini IntervalWaktuPembaruanSertifikat dan PersentaseWaktuPembaruanSertifikat. Berikut ini adalah beberapa detail mengenai parameter masing-masing:

Nama Parameter Metode Aplikasi Nilai yang Diperbolehkan Jenis Nilai
IntervalWaktuPembaruanSertifikat Profil konfigurasi Manajer Profil - ADCert atau SCEP Lebih lama dari 14 hari
Kurang dari masa berlaku maksimum sertifikat dalam hari
Hari (integer)
PersentaseWaktuPembaruanSertifikat /usr/sbin/defaults Antara 1 dan 50 Persentase (integer)

PersentaseWaktuPembaruanSertifikat diterapkan dengan sintaks seperti hal berikut ini:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Kedua pengaturan dapat digunakan secara bersama-sama:

  1. Jika IntervalWaktuPembaruanSertifikat ditentukan dalam profil, nilainya akan digunakan.
  2. Jika IntervalWaktuPembaruanSertifikat *tidak* ditentukan dalam profil tetapi PersentaseWaktuPembaruanSertifikat ditentukan di klien, nilai PersentaseWaktuPembaruanSertifikat akan digunakan.
  3. Jika tidak ada yang ditentukan secara jelas, nilai 14 hari diasumsikan untuk IntervalWaktuPembaruanSertifikat.

Pelajari Lebih Lanjut

Jika profil yang digunakan untuk mendapatkan sertifikat ADCert atau SCEP dihapus dari Mavericks, sertifikat yang paling baru didapatkan dan kunci pribadi akan dihapus dari rantai kunci tempat mereka berada. Sertifikat asli, yang sekarang terpisah dari kunci pribadinya, tidak akan dihapus dan dapat dihapus secara manual.

Jika profil yang digunakan untuk mendapatkan sertifikat juga berisi muatan yang ditautkan ke sertifikat yang didapatkan (Jaringan: EAP-TLS, VPN: autentikasi berbasis sertifikat sesuai permintaan, dan lainnya), saat sertifikat diperbarui, konfigurasi yang tergantung akan diperbarui untuk sertifikat baru.

Setelah sertifikat diperbarui, profil yang diinstal dikaitkan dengan sertifikat baru.  Tidak ada profil tambahan yang akan diinstal atau dibuat sebagai akibat dari pembaruan sertifikat.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: