OS X Server: het codeondertekeningscertificaat van Profielbeheer vernieuwen

De aanhalingstekens die in Terminal-opdrachten worden gebruikt, zijn "rechte" aanhalingstekens. Sommige webbrowsers, e-mailprogramma’s en programma’s voor tekstbewerking converteren deze mogelijk automatisch naar slimme (kromme) aanhalingstekens. Het is belangrijk dat u rechte aanhalingstekens gebruikt wanneer u de opdrachten uit dit artikel in het programma Terminal invoert. In geografische gebieden waar de naam van het certificaat diakritische tekens bevat, kunnen slimme aanhalingstekens ervoor zorgen dat certadmin meldt dat het certificaat niet wordt gevonden.

Bij OS X Mavericks ontvangt u 30 dagen voor de vervaldatum van het certificaat een waarschuwing in het programma Server. Daarna verschijnt elke dag een waarschuwing in het programma Server totdat het certificaat is vernieuwd. In de waarschuwing vindt u de knop ‘Vernieuw’ om het certificaat te vernieuwen. 

Bij OS X Lion en OS X Mountain Lion volgt u de onderstaande procedure om het certificaat te vernieuwen.

Ter voorbereiding van de vernieuwing van het certificaat moet u eerst enkele gegevens verzamelen. U hebt het volgende nodig:

1. De volledige Normale naam van het codeondertekeningscertificaat.
2. De volledige Normale naam van de verstrekker.
3. Het serienummer van het certificaat in hexadecimale schrijfwijze.

Zo verkrijgt u de volledige Normale naam van het codeondertekeningscertificaat:

1. Open /Programma’s/Hulpprogramma’s/Sleutelhangertoegang.app.
2. Selecteer links onder Sleutelhangers de sleutelhanger ‘Systeem’.
3. Zoek het codeondertekeningscertificaat. De naam heeft de structuur ‘mijnserver.mijndomein.com Codeondertekeningscertificaat’ waarbij ‘mijnserver.mijndomein.com’ de Fully Qualified Domain Name (FQDN) van de server is. U ziet twee vermeldingen. Eén ervan is de private sleutel en de andere is het certificaat zelf. Dubbelklik op het certificaat.
4. Zoek onder Details het onderdeel ‘Naam onderwerp’. Zoek onder ‘Naam onderwerp’ het veld ‘Normale naam’. Deze moet gelijk zijn aan de naam van het certificaat in de lijst uit stap 3. Noteer de volledige naam, inclusief de hoofdletters, spaties en leestekens.

Zo verkrijgt u de volledige Normale naam van de verstrekker:

1. Zoek het onderdeel met de titel ‘Naam verstrekker’ in dezelfde details van het certificaat. Zoek het veld ‘Normale naam’ er rechtstreeks onder. De Normale naam van de verstrekker heeft de volgende structuur:  ‘IntermediateCA_MIJNSERVER.MIJNDOMEIN.COM_1’
   ...waarbij ‘MIJNSERVER.MIJNDOMEIN.COM’ de FQDN van de server is. Noteer de volledige naam, inclusief de hoofdletters, spaties en leestekens.

Zo verkrijgt u het serienummer van het certificaat in hexadecimale schrijfwijze:

1. In dezelfde details van het certificaat ziet u onder ‘Naam verstrekker’ het veld ‘Serienummer’. Noteer het serienummer dat in decimale schijfwijze is genoteerd.
2. Open /Programma’s/Rekenmachine.app
3. Kies in Rekenmachine het menu Weergave > Programmeur om naar de modus voor programmeurs te schakelen.
4. Net onder het numerieke scherm van Rekenmachine aan de rechterkant ziet u de knoppen ‘8’, ‘10’ en ‘16’. Klik op de knop ‘10’ om te verzekeren dat de decimale modus van Rekenmachine actief is.
5. Voer het serienummer in dat u in stap 1 hebt gevonden, bijvoorbeeld: ‘6745963548’.
6. Klik op de knop ‘16’ om dit om te zetten in een hexadecimale waarde. Het resultaat hiervan is dan ‘0x192173C1C’. Negeer ‘0x’ aan het begin en noteer de rest van de getallen.

Het codeondertekeningscertificaat vernieuwen in OS X Lion:

1. Open /Programma’s/Hulpproggramma’s/Terminal.app.
2. Voer de volgende opdracht in met de hierboven verzamelde gegevens. Wanneer u het serienummer in hexadecimale schrijfwijze invoert, zorgt u ervoor dat alle letters in kleine letters worden ingevoerd.

   sudo /usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Het codeondertekeningscertificaat vernieuwen in OS X Mountain Lion:

1. Open /Programma’s/Hulpproggramma’s/Terminal.app.
2. Voer de volgende opdracht in met de hierboven verzamelde gegevens. Wanneer u het serienummer in hexadecimale schrijfwijze invoert, zorgt u ervoor dat alle letters in kleine letters worden ingevoerd.

   sudo /Applications/Server.app/Contents/ServerRoot/usr/sbin/certadmin --recreate-CA-signed-certificate "myserver.mydomain.com Code Signing Certificate" "IntermediateCA_MYSERVER.MYDOMAIN.COM_1" 192173c1c

Zo verzekert u dat Profielbeheer het nieuwe certificaat gebruikt:

1. Open /Programma’s/Server.app.
2. Klik onder Voorzieningen op ‘Profielbeheer’.
3. Schakel Profielbeheer uit.
4. Klik naast ‘Onderteken configuratieprofielen’ op de knop ‘Wijzig’.
5. Selecteer in de lijst met certificaten het certificaat genaamd ‘mijnserver.mijndomein.com Codeondertekeningscertificaat - mijnserver.mijndomein.com OD intermediaire CA’. Dit is het enige certificaat in de lijst.
6. Klik op ‘OK’.
7. Schakel Profielbeheer in.

Na het vernieuwen van het codeondertekeningscertificaat accepteert iOS geen updates via Profielbeheer. Verwijder voor elk iOS-apparaat het vertrouwensprofiel en het inschrijvingsprofiel in Instellingen > Algemeen > Profielen. Gebruik hiervoor Profielbeheer. Ga vervolgens naar het gebruikersportaal van Profielbeheer op https://mijnserver.mijndomein.com/mydevices om het actuele vertrouwensprofiel te installeren en het apparaat opnieuw in te schrijven.