Verifica dei certificati per macOS Server

Se riscontri problemi con xscertd o durante l'assegnazione di certificati ai servizi, potresti dover verificare i controlli di Accesso Portachiavi.

Se compaiono dei messaggi contenenti "getCACerts" nei file di log oppure se riscontri problemi con l'assegnazione dei certificati ai servizi in OS X Server, i controlli di accesso potrebbero impedire al server di accedere al componente chiave privata dell'identità.

Verifica i controlli di accesso

  1. Apri Accesso Portachiavi sul server.
  2. Seleziona il portachiavi del sistema dalla barra laterale a sinistra.
  3. Seleziona la categoria Tutti gli elementi dalla barra laterale a sinistra. Se la categoria Tutti gli elementi non compare, fai clic su .
  4. Verifica i seguenti oggetti di preferenza identità OPENDIRECTORY:

Verifica OPENDIRECTORY_ROOT_CA_IDENTITY

  1. Fai doppio clic sulla preferenza di identità OPENDIRECTORY_ROOT_CA_IDENTITY.
  2. Nel menu Certificato preferito, deve essere impostata su "Autorità di certificazione Open Directory Nome-organizzazione". Verifica che presenti impostazioni di attendibilità personalizzate .
  3. Prendi nota del nome del certificato e della data di scadenza visualizzata. Chiudi la finestra delle preferenze di identità.
  4. Fai clic sulla categoria Certificati.
  5. Trova il certificato con nome e data di scadenza corrispondenti a quelli annotati. Fai clic sul triangolo di apertura del certificato. La chiave privata è visualizzata sotto il certificato.
  6. Fai doppio clic sulla chiave privata.
  7. Fai clic sul pannello Controllo accesso. Il sistema potrebbe chiedere di eseguire l'autenticazione amministratore.
  8. Dovresti vedere che queste applicazioni possono accedere alla chiave:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Se nell'elenco mancano uno o più elementi, aggiungili manualmente. Fai clic sul pulsante + per aggiungere un nuovo elemento, quindi premi Comando-Maiuscole-G.
  10. Nella finestra Vai alla cartella inserisci il percorso specifico dell'elemento mancante:
    • Per l'elemento slapconfig, inserisci il percorso /usr/sbin/slapconfig
    • Per l'elemento xscertd-helper, inserisci il percorso /usr/libexec/xscertd-helper
    • Per l'elemento xcertadmin, inserisci il percorso /usr/sbin/xscertadmin
    • Per l'elemento servermgrd, inserisci il percorso /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Una volta inserito il percorso per l'elemento mancante, fai clic su Vai per evidenziarlo. Quindi fai clic su Aggiungi per aggiungere l'elemento.
  12. Quando nell'elenco compaiono tutti gli elementi, fai clic su Salva modifiche. Se ti viene richiesta la tua password di amministratore, inseriscila e poi fai clic su Modifica portachiavi.

 

Verifica OPENDIRECTORY_INT_CA_IDENTITY

  1. Fai doppio clic sulla preferenza di identità OPENDIRECTORY_INT_CA_IDENTITY.
  2. Nel menu Certificato preferito, deve essere impostata su "IntermediateCA_DNS_NAME_OF_SERVER_1". Verifica che sia contrassegnata come valida  e che sia emessa da questa CA principale.
  3. Prendi nota del nome del certificato e della data di scadenza visualizzata. Chiudi la finestra delle preferenze di identità.
  4. Fai clic sulla categoria Certificati.
  5. Trova il certificato con nome e data di scadenza corrispondenti a quelli annotati. Fai clic sul triangolo di apertura del certificato. La chiave privata è visualizzata sotto il certificato.
  6. Fai doppio clic sulla chiave privata.
  7. Fai clic sul pannello Controllo accesso. Il sistema potrebbe chiedere di eseguire l'autenticazione amministratore.
  8. Dovresti vedere che queste applicazioni possono accedere alla chiave:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd
  9. Se nell'elenco mancano uno o più elementi, aggiungili manualmente. Fai clic sul pulsante + per aggiungere un nuovo elemento, quindi premi Comando-Maiuscole-G.
  10. Nella finestra Vai alla cartella inserisci il percorso specifico dell'elemento mancante:
    • Per l'elemento slapconfig, inserisci il percorso /usr/sbin/slapconfig
    • Per l'elemento xscertd-helper, inserisci il percorso /usr/libexec/xscertd-helper
    • Per l'elemento xcertadmin, inserisci il percorso /usr/sbin/xscertadmin
    • Per l'elemento servermgrd, inserisci il percorso /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Una volta inserito il percorso per l'elemento mancante, fai clic su Vai per evidenziarlo. Quindi fai clic su Aggiungi per aggiungere l'elemento.
  12. Quando nell'elenco compaiono tutti gli elementi, fai clic su Salva modifiche. Se ti viene richiesta la tua password di amministratore, inseriscila e poi fai clic su Modifica portachiavi.

Verifica OPENDIRECTORY_SSL_IDENTITY

  1. Fai doppio clic sulla preferenza di identità OPENDIRECTORY_SSL_IDENTITY.
  2. Nel menu Certificato preferito, deve essere impostata su "dns-name-of-server". Verifica che sia contrassegnata come valida  e che sia emessa da OPENDIRECTORY_SSL_IDENTITY.
  3. Prendi nota del nome del certificato e della data di scadenza visualizzata. Chiudi la finestra delle preferenze di identità.
  4. Fai clic sulla categoria Certificati.
  5. Trova il certificato con nome e data di scadenza corrispondenti a quelli annotati. Fai clic sul triangolo di apertura del certificato. La chiave privata è visualizzata sotto il certificato.
  6. Fai doppio clic sulla chiave privata.
  7. Fai clic sul pannello Controllo accesso. Potrebbe comparire un prompt di sicurezza.
  8. Verifica di avere selezionato l'opzione "Tutte le applicazioni possono accedere". Fai clic su Salva modifiche. Se ti viene richiesta la password di amministratore, inseriscila e poi fai clic su Modifica portachiavi.

Dopo la verifica delle preferenze di identità

Dopo aver verificato tutte e tre le preferenze di identità, riavvia il server per controllare se il problema persiste.

Data di pubblicazione: