Vernieuwing van certificaten op basis van profielen gebruiken in macOS
macOS Catalina en nieuwer bieden ondersteuning voor het vernieuwen van certificaten die via een configuratieprofiel zijn verkregen.
macOS ondersteunt twee methoden voor het vernieuwen van de certificaatinschrijving met een configuratieprofiel:
SCEP (Simple Certificate Enrollment Protocol), dat vaak gebruikmaakt van Microsofts certificeringsinstantie NDES (Network Device Enrollment Service) (NDES).
DCOM/RPC (ADCertificate), dat vertrouwt op een certificeringsinstantie (CA) van Microsoft Windows Server.
Over certificaten
In macOS kun je een certificaat verkrijgen en vernieuwen met hetzelfde profiel. macOS waarschuwt je wanneer de vervaldatum van een certificaat nadert:
Wanneer een certificaat over vijftien dagen verloopt, ontvang je een herinnering.
Wanneer een certificaat over minder dan vijftien dagen verloopt, wordt een banner weergegeven in het meldingencentrum. Deze melding wordt één keer per dag herhaald tot het certificaat verloopt of je het bijwerkt of verwijdert.
Om een certificaat bij te werken, ga je naar het paneel 'Profielen' van Systeemvoorkeuren, klik je op het certificaatprofiel en klik je vervolgens op 'Werk bij'.
Vernieuwen met ADCertificate
Klik op de knop 'Werk bij' in het paneel 'Profielen' van Systeemvoorkeuren om een nieuwe private sleutel aan te maken. De nieuwe private sleutel wordt gebruikt om de certificaataanvraag te ondertekenen die naar de certificeringsinstantie (CA) wordt gestuurd. Vervolgens wordt het nieuwe certificaat van de CA gekoppeld aan de nieuwe private sleutel.
Het originele certificaat en de private sleutel, die bij de installatie van het profiel zijn aangemaakt, blijven aanwezig in de sleutelhanger.
Lees hoe je certificaten automatisch vernieuwt via een configuratieprofiel.
Vernieuwen met SCEP
Klik op de knop 'Werk bij' in het paneel 'Profielen' van Systeemvoorkeuren. De huidige private sleutel wordt gebruikt om de certificaataanvraag te ondertekenen die naar de CA wordt gestuurd. Wanneer de CA het certificaat vernieuwt, wordt het gekoppeld aan de originele private sleutel.
Het originele certificaat, dat bij de installatie van het profiel is aangemaakt, blijft in de sleutelhanger.
Vernieuwen via de commandoregel
In macOS 10.12 Sierra en nieuwer kun je de via ADCertificate- en SCEP-profielen gegenereerde certificaten bijwerken met het commando /usr/bin/profiles. Gebruik de volgende syntaxis in de commandoregel:
profiles -W -p
Je kunt de waarde 'profileIdentifier' vinden door een lijst van de geïnstalleerde profielen te genereren met commando-argument '-L'.
Vernieuwingsmeldingen configureren
Yosemite en nieuwere versies van macOS geven een dagelijkse melding weer wanneer het certificaat binnen 14 dagen verloopt.
Je kunt het tijdstip van de dagelijkse melding wijzigen via twee configuratieparameters met de naam 'CertificateRenewalTimeInterval' en 'CertificateRenewalTimePercent':
Parameter | Toepassingsmethode | Toegestane waarden | Type waarde |
CertificateRenewalTimeInterval | Configuratieprofiel van Profielbeheer: ADCert of SCEP | Meer dan 14 dagen, of minder dan de maximale levensduur van het certificaat, in dagen | Dagen (geheel getal) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Tussen 1 en 50 | Percentage (geheel getal) |
Je kunt CertificateRenewalTimePercent toepassen met de volgende syntaxis:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Je kunt deze twee instellingen samen gebruiken:
Als CertificateRenewalTimeInterval is gedefinieerd in het profiel, gebruik je die waarde.
Als CertificateRenewalTimeInterval niet is gedefinieerd in het profiel, maar wel in de client, gebruik je de waarde voor CertificateRenewalTimePercent.
Als geen van beide waarden is gedefinieerd, wordt het tijdsinterval ingesteld op 14 dagen.
Meer informatie
Het profiel waarmee je het ADCertificate of SCEP-certificaat hebt aangemaakt, kan mogelijk worden verwijderd. Als je gebruikmaakt van Mavericks of een hogere versie van macOS, worden de meest recente instanties van het certificaat en de private sleutel verwijderd uit de sleutelhanger, maar het originele certificaat wordt niet verwijderd. Je moet dit zelf verwijderen.
Het profiel waarmee je het certificaat hebt verkregen, heeft mogelijk nog andere payloads die gekoppeld zijn aan het certificaat. Voorbeelden van dergelijke payloads zijn onder andere: Netwerk: EAP-TLS, VPN: On-demand op certificaten gebaseerde identificatie. Wanneer het certificaat wordt vernieuwd, worden de afhankelijke configuraties bijgewerkt voor het nieuwe certificaat.
Nadat een certificaat is vernieuwd, wordt het geïnstalleerde profiel gekoppeld aan het nieuwe certificaat. Wanneer een certificaat wordt vernieuwd, worden er geen nieuwe profielen geïnstalleerd of aangemaakt.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.
