Uso del rinnovo di un certificato basato sul profilo in macOS

Le attuali versioni di macOS supportano il rinnovo dei certificati acquisiti da un profilo di configurazione.

In macOS, per rinnovare la registrazione del certificato sul tuo profilo di configurazione sono disponibili due metodi:

  • Mediante il protocollo SCEP (Simple Certificate Enrollment Protocol), che spesso utilizza il servizio NDES (Network Device Enrollment Service) di un'autorità di certificazione (CA) Microsoft.
  • Mediante DCOM/RPC (ADCertificate), che dipende da un'autorità di certificazione (CA) di Microsoft Windows Server. 

Informazioni sui certificati

In macOS, puoi ottenere e rinnovare il tuo certificato con lo stesso profilo. Quando mancano 15 giorni alla scadenza del certificato, ti viene notificato un promemoria. Nel profilo del certificato nel pannello Profili di Preferenze di Sistema, fai clic su Aggiorna. Quando restano meno di 15 giorni alla scadenza del certificato, vedrai un banner nel Centro Notifiche. Il messaggio di notifica si ripete una volta al giorno fino alla scadenza o al rinnovo del certificato

Rinnovo mediante ADCertificate

Nel pannello Profili di Preferenze di Sistema, fai clic sul pulsante Aggiorna per creare una nuova chiave privata. La nuova chiave privata viene utilizzata per firmare la richiesta di certificato inviata alla CA. Il nuovo certificato emesso dalla CA viene abbinato alla nuova chiave privata.

Il certificato originale e la chiave privata creati durante l'installazione del profilo rimangono nel portachiavi.

Rinnovo mediante SCEP

Fai clic sul pulsante Aggiorna nel pannello Profili di Preferenze di Sistema. La chiave privata corrente viene utilizzata per firmare la richiesta di certificato inviata alla CA. Quando la CA rinnova il certificato, questo viene abbinato alla chiave privata originale.

Il certificato originale creato durante l'installazione del profilo rimane nel portachiavi.

Rinnovo mediante riga di comando

In macOS 10.12 Sierra, puoi rinnovare i certificati ADCertificate e SCEP generati dal profilo con il comando /usr/bin/profiles. Nella riga di comando, usa la seguente sintassi:

profiles -W -p <valore profileIdentifier>

Puoi trovare il valore "profileIdentifier" richiamando l'elenco dei profili installati con l'argomento di comando -L.

Configurazione delle notifiche di rinnovo

Yosemite e le versioni successive di macOS visualizzano una notifica giornaliera quando mancano meno di 14 giorni alla scadenza del certificato.

Puoi modificare l'orario della notifica giornaliera con due parametri di configurazione, CertificateRenewalTimeInterval e CertificateRenewalTimePercent:

Parametro  Metodo di applicazione Valori consentiti Tipo di valore
CertificateRenewalTimeInterval Profilo di configurazione Gestore profilo: ADCert o SCEP Superiori a 14 giorni o inferiori alla durata massima del certificato in giorni Giorni (numero intero)
CertificateRenewalTimePercent /usr/sbin/defaults Tra 1 e 50 Percentuale (numero intero)

Puoi applicare il parametro CertificateRenewalTimePercent con la seguente sintassi:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Puoi utilizzare queste due impostazioni insieme:

  • Usa il valore di CertificateRenewalTimeInterval, se definito nel profilo.
  • Se CertificateRenewalTimeInterval non è definito nel profilo, ma è definito sul client, usa il valore di CertificateRenewalTimePercent.

Se nessuno di questi valori è definito, l'intervallo di tempo è impostato su 14 giorni.

Ulteriori informazioni

Il profilo utilizzato per creare il certificato ADCert o SCEP potrebbe essere rimosso. Se usi Mavericks o una versione successiva di macOS, il certificato e la chiave privata più recenti vengono rimossi dal portachiavi, ma il certificato originale non viene rimosso. Dovrai eliminarlo manualmente.

Nel profilo utilizzato per ottenere il certificato, potrebbero esserci altri payload collegati al certificato. Alcuni esempi di payload sono Rete: EAP-TLS, VPN: autenticazione basata su certificato On Demand. Al rinnovo del certificato, le configurazioni dipendenti vengono aggiornate per il nuovo certificato.

Dopo il rinnovo di un certificato, il profilo installato viene associato al nuovo certificato. Quando si rinnova un certificato, non vengono installati o creati profili aggiuntivi.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: