macOS でプロファイルベースの証明書の更新機能を使う

最新バージョンの macOS は、構成プロファイルから取得した証明書の更新に対応しています。

macOS では、以下の 2 つの方法で、構成プロファイルを使って証明書の登録状況を更新できます。

  • Simple Certificate Enrollment Protocol (SCEP):多くの場合、Microsoft Certificate Authority (CA) のネットワークデバイス登録サービス (NDES) が利用されます。
  • DCOM/RPC (ADCertificate):Microsoft Windows Server Certificate Authority (CA) に依拠しています。 

証明書について

macOS では、同じプロファイルを使って証明書を取得し、更新できます。証明書の有効期限が近付くと、macOS が知らせてくれます。

  • 証明書の有効期限の 15 日前になると、通知が届きます。 
  • 証明書の有効期限まで 15 日を過ぎると、通知センターにバナーが表示されます。この通知は、証明書の期限が切れるか、何らかの対処がなされるまで、1 日に 1 回繰り返し表示されます。

証明書を更新するには、システム環境設定の「プロファイル」パネルで証明書プロファイルをクリックし、「更新」をクリックしてください。 

ADCertificate で更新する

システム環境設定の「プロファイル」パネルで「更新」ボタンをクリックすると、新しい秘密鍵が作成されます。この新しい秘密鍵が証明書要求への署名に使われ、署名済みの証明書要求が CA に送信されます。CA から発行された新しい証明書が新しい秘密鍵とペアになります。

プロファイルをインストールしたときに作成された元の証明書と秘密鍵はキーチェーンに残ります。

構成プロファイルで配布された証明書を自動更新する方法については、こちらの記事を参照してください。

SCEP で更新する

システム環境設定の「プロファイル」パネルで「更新」ボタンをクリックします。現状の秘密鍵が証明書要求への署名に使われ、署名済みの証明書要求が CA に送信されます。CA が証明書を更新すると、その証明書が元の秘密鍵とペアになります。

プロファイルをインストールしたときに作成された元の証明書はキーチェーンに残ります。

コマンドラインを使って更新する

macOS 10.12 Sierra 以降では、ADCertificate および SCEP のプロファイルで生成される証明書を /usr/bin/profiles コマンドで更新できます。コマンドラインで以下の構文を使ってください。

profiles -W -p <profileIdentifier 値>

"profileIdentifier" の値は、-L コマンド引数を使ってインストール済みのプロファイルのリストを表示すれば確認できます。

更新通知を設定する

Yosemite 以降のバージョンの macOS では、証明書の有効期限まで 14 日を切ると、毎日通知が表示されるようになっています。

毎日の通知時刻は、CertificateRenewalTimeInterval と CertificateRenewalTimePercent という 2 つの構成パラメータで変更できます。

パラメータ  適用方法 指定できる値 値のタイプ
CertificateRenewalTimeInterval プロファイルマネージャの構成プロファイル:ADCert または SCEP 15 日以上、または証明書の有効期間よりも短い日数 日数 (整数値)
CertificateRenewalTimePercent /usr/sbin/defaults 1 から 50 までの値 パーセンテージ (整数値)

CertificateRenewalTimePercent は、以下のような構文で適用できます。

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

以下のように 2 つの設定を併用できます。

  • プロファイルで CertificateRenewalTimeInterval が定義されている場合は、その値が使われます。
  • プロファイルで CertificateRenewalTimeInterval が定義されていないが、クライアント側で定義されている場合は、CertificateRenewalTimePercent の値が使われます。

いずれの値も定義されていない場合、時間間隔は 14 日間に設定されます。

関連情報

ADCert または SCEP の証明書の作成に使われたプロファイルが削除されることがあります。Mavericks 以降のバージョンの macOS をお使いの場合は、最新の証明書と秘密鍵がキーチェーンから削除されますが、元の証明書は削除されないので、自分で削除する必要があります。

証明書の取得時に使ったプロファイルに、その証明書にリンクされたほかのペイロードが含まれる場合があります。ペイロードの例としては、ネットワーク:EAP-TLS、VPN:OnDemand 証明書ベースの認証などが挙げられます。証明書が更新されると、依存する構成も新しい証明書に合わせて更新されます。

証明書が更新されると、インストールされているプロファイルは新しい証明書と関連付けられます。証明書が更新される際に、追加のプロファイルがインストールされたり作成されたりすることはありません。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: