Certificaten voor macOS Server controleren

Als u problemen hebt met xscertd, of wanneer u certificaten toewijst aan services, moet u mogelijk de toegangscontrole voor Sleutelhanger controleren.

Als er in uw logboekbestanden berichten voorkomen met 'getCACerts' erin, of als u problemen hebt met de toewijzing van certificaten aan services in macOS Server, dan is het mogelijk dat de toegangscontrole verhindert dat de server toegang krijgt tot de private sleutel van de identiteit.

Toegangscontrole controleren

  1. Open Sleutelhangertoegang op de server.
  2. Selecteer de systeemsleutelhanger in de navigatiekolom aan de linkerkant.
  3. Selecteer in de navigatiekolom aan de linkerkant de categorie 'Alle onderdelen'. Als 'Alle onderdelen' niet wordt weergegeven, klikt u op .
  4. Controleer deze OPENDIRECTORY-identiteitsvoorkeurobjecten:

'OPENDIRECTORY_ROOT_CA_IDENTITY' controleren

  1. Dubbelklik op de identiteitsvoorkeur 'OPENDIRECTORY_ROOT_CA_IDENTITY'.
  2. Deze moet in het menu 'Voorkeurscertificaat' ingesteld zijn op '[naam van uw organisatie] Open Directory-certificaatautoriteit'. Controleer dat het aangepaste vertrouwensinstellingen heeft .
  3. Noteer de naam van dit certificaat en de getoonde verloopdatum. Sluit het venster 'Identiteitsvoorkeur'.
  4. Klik op de categorie 'Certificaten'.
  5. Zoek het certificaat met dezelfde naam en verloopdatum. Klik op de onthullingsdriehoek voor dit certificaat. De private sleutel wordt weergegeven onder het certificaat.
  6. Dubbelklik op de private sleutel.
  7. Klik op het tabblad 'Toegangscontrole'. Mogelijk moet u zich identificeren als beheerder.
  8. U zou nu moeten zien dat deze programma's toegang hebben tot deze sleutel:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Als een item niet in de lijst staat, voegt u het handmatig toe. Klik op '+' om een nieuw item toe te voegen en druk vervolgens op Command-Shift-G.
  10. In het venster 'Ga naar map' geeft u het specifieke pad op voor het ontbrekende item:
    • Voor het item 'slapconfig' geeft u dit pad op: /usr/sbin/slapconfig
    • Voor het item 'xscertd-helper' geeft u dit pad op: /usr/libexec/xscertd-helper
    • Voor het item 'xcertadmin' geeft u dit pad op: /usr/sbin/xscertadmin
    • Voor het item 'servermgrd' geeft u dit pad op: /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Wanneer u het pad voor het ontbrekende item hebt opgegeven, klikt u op 'Ga' om het te markeren. Vervolgens klikt u op 'Voeg toe' om het item toe te voegen.
  12. Als alle items eenmaal in de lijst staan, klikt u op 'Bewaar wijzigingen'. Als u om uw beheerderswachtwoord wordt gevraagd, geeft u dit op en klikt u op 'Wijzig sleutelhanger'.

 

'OPENDIRECTORY_INT_CA_IDENTITY' controleren

  1. Dubbelklik op de identiteitsvoorkeur 'OPENDIRECTORY_INT_CA_IDENTITY'.
  2. Het menu 'Voorkeurscertificaat' moet ingesteld zijn op 'IntermediateCA_DNS_NAME_OF_SERVER_1'. Controleer of het is gemarkeerd als geldig  en dat het is verstrekt door deze root-CA.
  3. Noteer de naam van dit certificaat en de getoonde verloopdatum. Sluit het venster 'Identiteitsvoorkeur'.
  4. Klik op de categorie 'Certificaten'.
  5. Zoek het certificaat met dezelfde naam en verloopdatum. Klik op de onthullingsdriehoek voor dit certificaat. De private sleutel wordt weergegeven onder het certificaat.
  6. Dubbelklik op de private sleutel.
  7. Klik op het tabblad 'Toegangscontrole'. Mogelijk moet u zich identificeren als beheerder.
  8. U zou nu moeten zien dat deze programma's toegang hebben tot deze sleutel:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. Als een item niet in de lijst staat, voegt u het handmatig toe. Klik op '+' om een nieuw item toe te voegen en druk vervolgens op Command-Shift-G.
  10. In het venster 'Ga naar map' geeft u het specifieke pad op voor het ontbrekende item:
    • Voor het item 'slapconfig' geeft u dit pad op: /usr/sbin/slapconfig
    • Voor het item 'xscertd-helper' geeft u dit pad op: /usr/libexec/xscertd-helper
    • Voor het item 'xcertadmin' geeft u dit pad op: /usr/sbin/xscertadmin
    • Voor het item 'servermgrd' geeft u dit pad op: /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. Wanneer u het pad voor het ontbrekende item hebt opgegeven, klikt u op 'Ga' om het te markeren. Vervolgens klikt u op 'Voeg toe' om het item toe te voegen.
  12. Als alle items eenmaal in de lijst staan, klikt u op 'Bewaar wijzigingen'. Als u om uw beheerderswachtwoord wordt gevraagd, geeft u dit op en klikt u op 'Wijzig sleutelhanger'.

'OPENDIRECTORY_SSL_IDENTITY' controleren

  1. Dubbelklik op de identiteitsvoorkeur 'OPENDIRECTORY_SSL_IDENTITY'.
  2. Deze moet in het menu 'Voorkeurscertificaat' ingesteld zijn op 'dns-name-of-server'. Controleer of het is gemarkeerd als geldig  en dat het is verstrekt door OPENDIRECTORY_SSL_IDENTITY.
  3. Noteer de naam van dit certificaat en de getoonde verloopdatum. Sluit het venster 'Identiteitsvoorkeur'.
  4. Klik op de categorie 'Certificaten'.
  5. Zoek het certificaat met dezelfde naam en verloopdatum. Klik op de onthullingsdriehoek voor dit certificaat. De private sleutel wordt weergegeven onder het certificaat.
  6. Dubbelklik op de private sleutel.
  7. Klik op het tabblad 'Toegangscontrole'. U krijgt mogelijk een beveiligingsaanwijzing.
  8. Controleer of de optie 'Verleen alle programma's toegang tot dit onderdeel' is geselecteerd. Klik op 'Bewaar wijzigingen'. Als u om uw beheerderswachtwoord wordt gevraagd, geeft u dit op en klikt u op 'Wijzig sleutelhanger'.

Nadat u de identiteitsvoorkeuren hebt gecontroleerd

Nadat u al deze drie identiteitsvoorkeuren hebt gecontroleerd, start u de server opnieuw op om te zien of het probleem nog steeds optreedt.

Publicatiedatum: