Uso del rinnovo di un certificato basato sul profilo in macOS
macOS Catalina e versioni precedenti supportano il rinnovo dei certificati acquisiti da un profilo di configurazione.
In macOS, per rinnovare la registrazione del certificato sul tuo profilo di configurazione sono disponibili due metodi:
Mediante il protocollo SCEP (Simple Certificate Enrollment Protocol), che spesso utilizza il servizio NDES
Mediante DCOM/RPC (ADCertificate), che dipende da un'autorità di certificazione (CA) di Microsoft Windows Server.
Informazioni sui certificati
In macOS, puoi ottenere e rinnovare il tuo certificato con lo stesso profilo. macOS ti avvisa quando si avvicina la scadenza di un certificato:
Quando mancano 15 giorni alla scadenza di un certificato, ti viene notificato un promemoria.
Quando mancano meno di 15 giorni alla scadenza di un certificato, appare un banner nel Centro Notifiche. Il messaggio di notifica si ripete una volta al giorno fino alla scadenza, all'aggiornamento o alla rimozione del certificato.
Per aggiornare un certificato, nel pannello Profili di Preferenze di sistema, fai clic sul profilo del certificato, quindi sul pulsante Aggiorna.
Rinnovo mediante ADCertificate
Nel pannello Profili di Preferenze di Sistema, fai clic sul pulsante Aggiorna per creare una nuova chiave privata. La nuova chiave privata viene utilizzata per firmare la richiesta di certificato inviata alla CA. Il nuovo certificato emesso dalla CA viene abbinato alla nuova chiave privata.
Il certificato originale e la chiave privata creati durante l'installazione del profilo rimangono nel portachiavi.
Scopri come rinnovare automaticamente dei certificati forniti tramite un profilo di configurazione.
Rinnovo mediante SCEP
Fai clic sul pulsante Aggiorna nel pannello Profili di Preferenze di Sistema. La chiave privata corrente viene utilizzata per firmare la richiesta di certificato inviata alla CA. Quando la CA rinnova il certificato, questo viene abbinato alla chiave privata originale.
Il certificato originale creato durante l'installazione del profilo rimane nel portachiavi.
Rinnovo mediante riga di comando
In macOS 10.12 Sierra e versioni successive, puoi rinnovare i certificati ADCertificate e SCEP generati dal profilo con il comando /usr/bin/profiles. Nella riga di comando, usa la seguente sintassi:
profili -W -p
Puoi trovare il valore "profileIdentifier" richiamando l'elenco dei profili installati con l'argomento di comando -L.
Configurazione delle notifiche di rinnovo
Yosemite e le versioni successive di macOS visualizzano una notifica giornaliera quando mancano meno di 14 giorni alla scadenza del certificato.
Puoi modificare l'orario della notifica giornaliera con due parametri di configurazione, CertificateRenewalTimeInterval e CertificateRenewalTimePercent:
Parametro | Metodo di applicazione | Valori consentiti | Tipo di valore |
CertificateRenewalTimeInterval | Profilo di configurazione Gestione profili: ADCert o SCEP | Superiori a 14 giorni o inferiori alla durata massima del certificato in giorni | Giorni (numero intero) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Tra 1 e 50 | Percentuale (numero intero) |
Puoi applicare il parametro CertificateRenewalTimePercent con la seguente sintassi:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Puoi utilizzare queste due impostazioni insieme:
Usa il valore di CertificateRenewalTimeInterval, se definito nel profilo.
Se CertificateRenewalTimeInterval non è definito nel profilo, ma è definito sul client, usa il valore di CertificateRenewalTimePercent.
Se nessuno di questi valori è definito, l'intervallo di tempo è impostato su 14 giorni.
Ulteriori informazioni
Il profilo utilizzato per creare il certificato ADCert o SCEP potrebbe essere rimosso. Se usi Mavericks o una versione successiva di macOS, il certificato e la chiave privata più recenti vengono rimossi dal portachiavi, ma il certificato originale non viene rimosso. Dovrai eliminarlo manualmente.
Nel profilo utilizzato per ottenere il certificato, potrebbero esserci altri payload collegati al certificato. Alcuni esempi di payload sono Rete: EAP-TLS, VPN: autenticazione basata su certificato On Demand. Al rinnovo del certificato, le configurazioni dipendenti vengono aggiornate per il nuovo certificato.
Dopo il rinnovo di un certificato, il profilo installato viene associato al nuovo certificato. Quando si rinnova un certificato, non vengono installati o creati profili aggiuntivi.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.
