OS X Server: i controlli di accesso potrebbero impedire a un'identità di certificato di funzionare con i servizi server

Dopo l'installazione di un'identità di certificato nel portachiavi di sistema, il certificato viene visualizzato nell'app Server o in Server Admin. Tuttavia il server potrebbe non usare il certificato selezionato, mentre le connessioni che usano il certificato selezionato potrebbero non venire completate.

Sintomi specifici

OS X Server

Dopo aver selezionato il certificato dal pannello Certificati nell'app Server, il menu a discesa potrebbe passare a un certificato impostato in precedenza o all'opzione Ad Hoc. Un tentativo di connessione effettuato usando questo certificato potrebbe non funzionare.

Lion Server

Dopo aver impostato il certificato nel pannello Impostazioni dell'app Server, potrebbe invece venire visualizzata l'opzione Ad hoc. Dopo aver fatto clic sul tasto Modifica per mostrare le impostazioni personalizzate del certificato SSL, potresti osservare che tutti i servizi sono impostati per usare il nuovo certificato, a eccezione del web. Se cerchi di impostare il certificato per l'uso con il web, questo potrebbe cambiare momentaneamente, quindi cambiare di nuovo inaspettatamente all'impostazione Nessuno. Un tentativo di connessione effettuato usando questo certificato potrebbe non funzionare.

Mac OS X Server 10.6

Dal pannello Certificati di Server Admin puoi visualizzare l'elenco di certificati disponibili per il Server, tra cui il certificato appena importato. Quando imposti il server per l'uso di questo certificato, potresti notare che le impostazioni vengono mantenute, ma un tentativo di connessione effettuato usando il nuovo certificato potrebbe non funzionare.

Risoluzione di questo problema

Il certificato che era stato importato nel portachiavi di sistema potrebbe avere controlli di accesso che impediscono al server di accedere al componente chiave privata dell'identità. Questa limitazione impedisce la necessaria esportazione della chiave privata in /etc/certificates.

Usa Accesso Portachiavi per rimuovere le limitazioni e consentire l'esportazione della chiave privata in modo che funzioni con i servizi del Server.

  1. Apri Accesso Portachiavi da /Applicazioni/Utility.
  2. Seleziona il portachiavi di sistema dal pannello Portachiavi.
  3. Scegli Certificati nel pannello Categoria in basso a sinistra.
  4. Fai clic sulla freccia accanto al certificato importato.
  5. Fai doppio clic sulla chiave privata.
  6. Passa al pannello Controllo accessi.
  7. Seleziona l'opzione "Tutte le applicazioni possono accedere".
  8. Fai clic su Salva modifiche e autenticati come amministratore locale quando viene richiesto.
  9. Riavvia il computer.

Puoi visualizzare l'elenco dei certificati installati immediatamente disponibili per i servizi del Server visualizzando la directory /etc/certificates. Lo schema di denominazione del certificato prevede di usare il nome comune del certificato seguito dall'hash SHA1 del certificato. Dovrebbero essere presenti quattro file per ogni identità di certificato valida: la catena di attendibilità del certificato (chain.pem), il certificato (cert.pem), la chiave (key.pem) e il certificato concatenato con la sua chiave privata (concat.pem). Se manca uno dei quattro componenti, i servizi non potranno lavorare con il certificato corrispondente.

Data di pubblicazione: