Naudokite profiliu pagrįstą sertifikato atnaujinimą „macOS“
„macOS Catalina“ ir ankstesnėse versijose palaikoma galimybė atnaujinti sertifikatus, įgytus iš konfigūracijos profilio.
Galite naudoti „macOS“, norėdami atnaujinti sertifikato registraciją konfigūracijos profilyje dviem būdais:
paprastas sertifikatų registravimo protokolas (SCEP), kurį dažnai naudoja „Microsoft“ sertifikatų tarnybos (CA) tinklo įrenginio registravimo paslauga (NDES);
DCOM/RPC („ADCertificate“), kuris priklauso nuo „Microsoft Windows Server“ sertifikatų tarnybos (CA).
Apie sertifikatus
„macOS“ galite gauti ir atnaujinti sertifikatą, naudodami tą patį profilį. „macOS“ įspės jus, kai artės sertifikato galiojimo pabaiga:
kai liks 15 dienų iki sertifikato galiojimo pabaigos, gausite priminimą;
kai liks mažiau nei 15 dienų iki sertifikato galiojimo pabaigos, pranešimų centre bus rodoma antraštė. Šis pranešimas bus kartojamas kartą per dieną, kol baigsis sertifikato galiojimo laikas arba jūs jį atnaujinsite ar pašalinsite.
Norėdami atnaujinti sertifikatą, „System Preferences“ (sistemos pirmenybinės nuostatos) srityje „Profiles“ (profiliai) spustelėkite sertifikato profilį, tada spustelėkite „Update“ (atnaujinti).
Atnaujinimas naudojant „ADCertificate“
„System Preferences“ (sistemos pirmenybinės nuostatos) srityje „Profiles“ (profiliai) spustelėkite mygtuką „Update“ (atnaujinti), kad sukurtumėte naują privatųjį raktą. Naujasis privatusis raktas naudojamas sertifikato užklausai, siunčiamai CA, pasirašyti. Naujasis sertifikatas iš CA susietas su naujuoju privačiuoju raktu.
Originalus sertifikatas ir privatusis raktas, kurie buvo sukurti įdiegus profilį, lieka „keychain“.
Sužinokite, kaip automatiškai atnaujinti sertifikatus, pateiktus per konfigūracijos profilį.
Atnaujinimas naudojant SCEP
„System Preferences“ (sistemos pirmenybinės nuostatos) srityje „Profiles“ (profiliai) spustelėkite mygtuką „Update“ (atnaujinti). Dabartinis privatusis raktas naudojamas sertifikato užklausai, siunčiamai CA, pasirašyti. Kai CA atnaujina sertifikatą, ji susieja jį su originaliu privačiuoju raktu.
Originalus sertifikatas, sukurtas įdiegus profilį, lieka „keychain“.
Atnaujinimas naudojant komandinę eilutę
Jei naudojate „macOS 10.12 Sierra“ ir naujesnę versiją, galite atnaujinti „ADCertificate“ ir SCEP profilio sugeneruotus sertifikatus, naudodami komandą /usr/bin/profiles. Komandinėje eilutėje naudokite šią sintaksę:
profiles -W -p
„profileIdentifier“ reikšmę galite rasti nurodę įdiegtus profilius su -L komandos argumentu.
Atnaujinimo pranešimų nustatymas
„Yosemite“ ir naujesnėse „macOS“ versijose pateikiamas kasdienis pranešimas rodomas, kai sertifikato galiojimo laikas baigiasi mažiau nei po 14 dienų.
Kasdienių pranešimų laiką galite pakeisti naudodami du konfigūracijos parametrus, vadinamus „CertificateRenewalTimeInterval“ ir „CertificateRenewalTimePercent“:
Parametras | Taikymo būdas | Leidžiamos reikšmės | Reikšmės tipas |
„CertificateRenewalTimeInterval“ | „Profile Manager“ konfigūracijos profilis: „ADCert“ arba SCEP | Ilgesnis nei 14 dienų arba trumpesnis nei maksimalus sertifikato galiojimo laikas dienomis | Dienos (sveikasis skaičius) |
„CertificateRenewalTimePercent“ | /usr/sbin/defaults | Nuo 1 iki 50 | Procentai (sveikasis skaičius) |
Galite taikyti „CertificateRenewalTimePercent“ su tokia sintakse:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Šiuos du nustatymus galite naudoti kartu:
Jei profilyje apibrėžta „CertificateRenewalTimeInterval“, naudokite tą reikšmę.
Jei „CertificateRenewalTimeInterval“ neapibrėžta profilyje, bet apibrėžta kliente, naudokite „CertificateRenewalTimePercent“ reikšmę.
Jei nei viena, nei kita reikšmė neapibrėžta, laiko intervalas nustatomas kaip 14 dienų.
Sužinokite daugiau
Profilį, kurį naudojote kurdami „ADCert“ arba SCEP sertifikatą, galima pašalinti. Jei naudojate „Mavericks“ arba naujesnę „macOS“ versiją, naujausias sertifikatas ir privatusis raktas pašalinami iš „keychain“, bet originalus sertifikatas nepašalinamas. Turite jį ištrinti.
Profilyje, kurį naudojote gavę sertifikatą, gali būti kito su sertifikatu susieto turinio. Turinio pavyzdžiai: tinklas: EAP-TLS, VPN: sertifikatu pagal pareikalavimą pagrįstas autentifikavimas. Atnaujinus sertifikatą, atnaujinamos priklausančios naujo sertifikato konfigūracijos.
Atnaujinus sertifikatą, įdiegtas profilis susiejamas su naujuoju sertifikatu. Atnaujinus sertifikatą, jokie papildomi profiliai neįdiegiami ir nesukuriami.
Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.
