Vernieuwing van certificaten op basis van profielen gebruiken in macOS

Huidige versies van macOS bieden ondersteuning voor het vernieuwen van certificaten die via een configuratieprofiel zijn verkregen.

macOS ondersteunt twee methoden voor het vernieuwen van de certificaatinschrijving met een configuratieprofiel:

  • SCEP (Simple Certificate Enrollment Protocol), dat vaak gebruikmaakt van Microsoft's certificeringsinstantie NDES (Network Device Enrollment Service) (NDES).
  • DCOM/RPC (ADCertificate), dat vertrouwt op een certificeringsinstantie (CA) van Microsoft Windows Server. 

Over certificaten

In macOS kunt u een certificaat verkrijgen en vernieuwen met hetzelfde profiel. 15 dagen voordat het certificaat verloopt, ontvangt u een herinnering. Klik op 'Werk bij' in het paneel 'Profielen' van Systeemvoorkeuren. Als er minder dan 15 dagen te gaan zijn voordat het certificaat verloopt, verschijnt er een banner in het berichtencentrum. Deze melding wordt dagelijks herhaald tot het certificaat vervalt of tot het moment dat u actie onderneemt

Vernieuwen met ADCertificate

Klik op de knop 'Werk bij' in het paneel 'Profielen' van Systeemvoorkeuren om een nieuwe private sleutel aan te maken. De nieuwe private sleutel wordt gebruikt om de certificaataanvraag te ondertekenen die naar de certificeringsinstantie (CA) wordt gestuurd. Vervolgens wordt het nieuwe certificaat van de CA gekoppeld aan de nieuwe private sleutel.

Het originele certificaat en de private sleutel, die bij de installatie van het profiel zijn aangemaakt, blijven aanwezig in de sleutelhanger.

Vernieuwen met SCEP

Klik op de knop 'Werk' bij in het paneel 'Profielen' van Systeemvoorkeuren. De huidige private sleutel wordt gebruikt om de certificaataanvraag te ondertekenen die naar de CA wordt gestuurd. Wanneer de CA het certificaat vernieuwt, wordt het gekoppeld aan de originele private sleutel.

Het originele certificaat, dat bij de installatie van het profiel is aangemaakt, blijft in de sleutelhanger.

Vernieuwen via de commandoregel

In macOS 10.12 Sierra, kunt u het ADCertificate en via een SCEP-profiel gegenereerde certificaten vernieuwen met het commando /usr/bin/profiles. Gebruik de volgende syntaxis in de commandoregel:

profiles -W -p <profileIdentifier value>

U kunt de waarde 'profileIdentifier' vinden door een lijst van de geïnstalleerde profielen te genereren met commando-argument '-L'.

Vernieuwingsmeldingen configureren

Yosemite en nieuwere versies van macOS laten dagelijks een melding verschijnen wanneer er minder dan 14 dagen te gaan zijn voordat het certificaat verloopt.

U kunt het tijdstip van de dagelijkse melding wijzigen via twee configuratieparameters met de naam 'CertificateRenewalTimeInterval' en 'CertificateRenewalTimePercent':

Parameter  Toepassingsmethode Toegestane waarden Type waarde
CertificateRenewalTimeInterval Configuratieprofiel van Profielbeheer: ADCert of SCEP Meer dan 14 dagen, of minder dan de maximale levensduur van het certificaat, in dagen Dagen (geheel getal)
CertificateRenewalTimePercent /usr/sbin/defaults Tussen 1 en 50 Percentage (geheel getal)

U kunt CertificateRenewalTimePercent toepassen met de volgende syntaxis:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

U kunt deze twee instellingen samen gebruiken:

  • Als CertificateRenewalTimeInterval is gedefinieerd in het profiel, gebruikt u die waarde.
  • Als CertificateRenewalTimeInterval niet is gedefinieerd in het profiel, maar wel in de client, gebruikt u de waarde voor CertificateRenewalTimePercent.

Als geen van beide waarden is gedefinieerd, wordt het tijdsinterval ingesteld op 14 dagen.

Meer informatie

Het profiel waarmee u het ADCertificate of SCEP-certificaat hebt aangemaakt, kan mogelijk worden verwijderd. Als u gebruikmaakt van Mavericks of een hogere versie van macOS, worden de meest recente instanties van het certificaat en de private sleutel verwijderd uit de sleutelhanger, maar het originele certificaat wordt niet verwijderd. U moet dit zelf verwijderen.

Het profiel waarmee u het certificaat hebt verkregen, heeft mogelijk nog andere payloads die gekoppeld zijn aan het certificaat. Voorbeelden van dergelijke payloads zijn onder andere: Netwerk: EAP-TLS, VPN: On-demand op certificaten gebaseerde identificatie. Wanneer het certificaat wordt vernieuwd, worden de afhankelijke configuraties bijgewerkt voor het nieuwe certificaat.

Nadat een certificaat is vernieuwd, wordt het geïnstalleerde profiel gekoppeld aan het nieuwe certificaat. Wanneer een certificaat wordt vernieuwd, worden er geen nieuwe profielen geïnstalleerd of aangemaakt.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: