OS X Server: rinnovo del certificato di firma del codice di Gestione profili

Quando si utilizza il certificato autofirmato di default e il certificato di firma del codice in OS X Server, di tanto in tanto il certificato di firma del codice deve essere rinnovato prima della scadenza.

Prima di iniziare

Le virgolette utilizzate nell’articolo dei comandi di Terminale sono virgolette "dritte". Alcuni browser web, applicazioni email ed editor di testo potrebbero convertire automaticamente questi segni in virgolette smart (curve). È importante utilizzare le virgolette dritte durante l’inserimento dei comandi di questo articolo in Terminal.app. Nelle aree geografiche in cui vengono utilizzati segni diacritici nel nome del certificato, le virgolette smart possono causare la segnalazione da parte di certadmin dell’impossibilità di trovare il certificato.

OS X Mavericks

Con OS X Mavericks ricevi un avviso in Server.app 30 giorni prima della scadenza del certificato. In seguito, viene mostrato un avviso in Server.app una volta al giorno fino a quando il certificato non viene rinnovato. L’avviso include un pulsante Rinnova che consente di rinnovare il certificato.

OS X Lion e OS X Mountain Lion

Per rinnovare il certificato in OS X Lion e OS X Mountain Lion, segui la procedura riportata di seguito.

Per prepararti al rinnovo del certificato, dovrai raccogliere prima alcune informazioni. Materiale necessario:

1. Il nome comune completo del certificato di firma del codice.

2. Il nome comune completo dell’emittente.

3. Il numero di serie del certificato in formato esadecimale.

Per ottenere il nome comune completo del certificato di firma del codice:

1. Apri /Applicazioni/Utility/Keychain Access.app.

2. A sinistra, sotto Portachiavi, seleziona il portachiavi del sistema.

3. Trova il certificato di firma del codice. Dovrebbe essere denominato nel seguente formato: “myserver.mydomain.com Code Signing Certificate”, dove “myserver.mydomain.com” è il nome di dominio completo (Fully Qualified Domain Name, FQDN) del server. Dovrebbero comparire due voci: una è la chiave privata e l'altra è il certificato. Fai doppio clic sul certificato.

4. Sotto Dettagli individua la sezione denominata “Nome soggetto”. In tale sezione individua il campo Nome comune, che dovrebbe essere identico al nome del certificato presente nell'elenco del passaggio 3. Prendi nota del nome completo, inclusi gli spazi, le maiuscole e la punteggiatura.

Per ottenere il nome comune completo dell’emittente:

1. Negli stessi dettagli del certificato individua la sezione intitolata “Nome emittente”. Individua il campo Nome comune immediatamente sotto tale sezione. Il nome comune dell'emittente dovrebbe essere visualizzato nel seguente formato: “IntermediateCA_MYSERVER.MYDOMAIN.COM_1"

   ...where "MYSERVER.MYDOMAIN.COM" will be the FQDN of your server. Make note of the full name, including capitalization, spaces, and punctuation.

Per ottenere il numero di serie del certificato in formato esadecimale:

1. Negli stessi dettagli del certificato, nella sezione “Nome emittente”, dovresti visualizzare il campo Numero di serie. Prendi nota del numero di serie, che è in formato decimale.

2. Apri /Applicazioni/Calculator.app

3. In Calcolatrice, scegli Vista > Programmatore per passare alla modalità programmatore.

4. Immediatamente sotto e a destra dello schermo numerico di Calcolatrice sono presenti i pulsanti etichettati “8”, “10” e “16”. Fai clic sul pulsante “10” per assicurarti che Calcolatrice sia in modalità decimale.

5. Inserisci il numero di serie che hai trovato nel passaggio 1, ad esempio “6745963548”.

6. Fai clic sul pulsante “16” per convertirlo in formato esadecimale. Il risultato sarà nel formato “0x192173C1C”. Ignora lo “0x” iniziale e prendi nota del resto del numero.

Per rinnovare il certificato di firma del codice in OS X Lion:

1. Apri /Applicazioni/Utility/Terminal.app.

2. Inserisci il seguente comando utilizzando le informazioni raccolte in precedenza. Quando inserisci il numero di serie in formato esadecimale, assicurati che tutte le lettere siano in minuscolo.

   sudo /usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Per rinnovare il certificato di firma del codice in OS X Mountain Lion:

1. Apri /Applicazioni/Utility/Terminale.

2. Inserisci il seguente comando utilizzando le informazioni raccolte in precedenza. Quando inserisci il numero di serie in formato esadecimale, assicurati che tutte le lettere siano in minuscolo.

   sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Per assicurarti che Gestione profili stia usando il nuovo certificato:

1. Apri /Applicazioni/Server.app.

2. Fai clic su Gestione profili sotto Servizi.

3. Disattiva Gestione profili.

4. Accanto a “Firma profili di configurazione”, fai clic sul pulsante Modifica.

5. Dall’elenco dei certificati, seleziona il certificato denominato “mioserver.miodominio.com Code Signing Certificate - mioserver.miodominio.com OD Intermediate CA”, che dovrebbe essere l’unico certificato presente nell’elenco.

6. Fai clic su OK.

7. Attiva Gestione profili.

Informazioni su iOS

iOS non accetta gli aggiornamenti attraverso Gestione profili dopo il rinnovo del certificato di firma del codice. Per ciascun dispositivo iOS che usa Gestione profili, rimuovi Profilo attendibilità e Profilo iscrizione in Impostazioni > Generali > Profili, quindi accedi al portale utente di Gestione profili su https://mioserver.miodominio.com/mieidispositivi per installare il Profilo attendibilità corrente e registrare di nuovo il dispositivo.