No profila iegūtu sertifikātu atjaunošanas izmantošana operētājsistēmā macOS
Operētājsistēmā macOS Catalina un vecākā versijā ir iekļauts atbalsts no konfigurācijas profila iegūtu sertifikātu atjaunošanai.
Varat izmantot macOS, lai atjaunotu sertifikātu reģistrāciju ar konfigurācijas profilu, izmantojot divas tālāk norādītās metodes.
Vienkāršais sertifikātu reģistrācijas protokols (Simple certificate enrollment protocol — SCEP), kas bieži izmanto Microsoft sertificēšanas iestādes tīkla ierīču reģistrācijas pakalpojumu (Network Device Enrollment Service — NDES).
DCOM/RPC (ADCertificate), kas ir atkarīgs no Microsoft Windows Server sertificēšanas iestādes.
Par sertifikātiem
Operētājsistēmā macOS sertifikātu var iegūt un atjaunot, izmantojot vienu un to pašu profilu. Tuvojoties sertifikāta derīguma termiņa beigām, operētājsistēma macOS sūta brīdinājumus:
Ja līdz sertifikāta derīguma termiņa beigām ir atlikušas 15 dienas, jūs saņemat atgādinājumu.
Ja līdz sertifikāta derīguma termiņa beigām ir atlikušas mazāk nekā 15 dienas, sadaļā Notification Center (Paziņojumu centrs) tiek rādīts reklāmkarogs. Šis paziņojums tiek atkārtoti rādīts vienreiz dienā līdz sertifikāta derīguma termiņa beigām vai brīdim, kad atjaunināt vai noņemat sertifikātu.
Lai atjauninātu sertifikātu, sadaļas System Preferences (Sistēmas preferences) rūtī Profiles (Profili) noklikšķiniet uz sertifikāta profila un pēc tam noklikšķiniet uz Update (Atjaunināt).
Atjaunošana, izmantojot ADCertificate
Sadaļas System Preferences (Sistēmas preferences) rūtī Profiles (Profili) noklikšķiniet uz pogas Update (Atjaunināt), lai izveidotu jaunu privāto atslēgu. Jaunā privātā atslēga tiek izmantota, lai parakstītu sertifikāta pieprasījumu, kas tiek nosūtīts sertificēšanas iestādei. Sertificēšanas iestādes izdotais jaunais sertifikāts tiek savienots pārī ar jauno privāto atslēgu.
Oriģinālais sertifikāts un privātā atslēga, kas tika izveidoti, kad tika instalēts profils, paliek atslēgas ķēdē.
Uzziniet, kā automātiski atjaunot sertifikātus, kas tiek nodrošināti ar konfigurācijas profila starpniecību.
Atjaunošana, izmantojot SCEP
Sadaļas System Preferences (Sistēmas preferences) rūtī Profiles (Profili) noklikšķiniet uz pogas Update (Atjaunināt). Pašreizējā privātā atslēga tiek izmantota, lai parakstītu sertifikāta pieprasījumu, kas tiek nosūtīts sertificēšanas iestādei. Kad sertificēšanas iestāde atjauno sertifikātu, tas tiek savienots pārī ar oriģinālo privāto atslēgu.
Oriģinālais sertifikāts, kas tika izveidots, kad tika instalēts profils, paliek atslēgas ķēdē.
Atjaunošana, izmantojot komandrindu
Operētājsistēmā macOS 10.12 Sierra un jaunākās versijās varat atjaunot ADCertificate un SCEP profila ģenerētus sertifikātus, izmantojot komandu /usr/bin/profiles. Komandrindā izmantojiet šādu sintaksi:
profiles -W -p
Vērtību “profileIdentifier” varat atrast, uzskaitot instalētos profilus ar komandas argumentu -L.
Atjaunošanas paziņojumu iestatīšana
Ja līdz sertifikāta derīguma termiņa beigām ir atlikušas mazāk nekā 14 dienas, operētājsistēmā Yosemite un jaunākās macOS versijās katru dienu līdz derīguma termiņa beigām tiek rādīts paziņojums.
Ikdienas paziņojumu rādīšanas laiku var mainīt, izmantojot divus konfigurācijas parametrus — CertificateRenewalTimeInterval un CertificateRenewalTimePercent.
Parametrs | Piemērošanas metode | Atļautās vērtības | Vērtības tips |
CertificateRenewalTimeInterval | Profile Manager (Profilu pārvaldnieks) konfigurācijas profils: ADCert vai SCEP | Vairāk nekā 14 dienas vai mazāk nekā sertifikāta maksimālais izmantošanas laiks dienās | Dienas (vesels skaitlis) |
CertificateRenewalTimePercent | /usr/sbin/defaults | No 1 līdz 50 | Procenti (vesels skaitlis) |
Varat piemērot parametru CertificateRenewalTimePercent, izmantojot šādu sintaksi:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Varat izmantot šos divus iestatījumus kopā:
Ja profilā ir definēts parametrs CertificateRenewalTimeInterval, izmantojiet šo vērtību.
Ja profilā nav definēts parametrs CertificateRenewalTimeInterval, bet tas ir definēts klientam, izmantojiet parametra CertificateRenewalTimePercent vērtību.
Ja nav definēta neviena vērtība, laika intervāls tiek iestatīts uz 14 dienām.
Papildinformācija
Profils, ko izmantojāt ADCert vai SCEP sertifikāta izveidošanai, var būt noņemts. Ja izmantojat Mavericks vai jaunāku macOS versiju, jaunākais sertifikāts un privātā atslēga tiek noņemti no atslēgas ķēdes, bet oriģinālais sertifikāts – ne. Jums tas ir jāizdzēš.
Profilam, ko izmantojāt, lai iegūtu sertifikātu, var būt citi vērtumi, kas saistīti ar sertifikātu. Vērtumu piemēri ir EAP-TLS (tīkls), VPN OnDemand uz sertifikātu balstīta autentifikācija. Kad sertifikāts ir atjaunots, jaunajam sertifikātam tiek atjauninātas atkarīgās konfigurācijas.
Pēc sertifikāta atjaunošanas instalētais profils tiek saistīts ar jauno sertifikātu. Kad tiek atjaunots sertifikāts, nekādi papildu profili netiek instalēti vai izveidoti.
Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.
