Bruk profilbasert sertifikatfornyelse i macOS

Gjeldende versjoner av macOS inkluderer støtte for fornyelse av sertifikater via en konfigurasjonsprofil.

Du kan bruke macOS til å fornye sertifikatregistreringen med konfigurasjonsprofilen din på to måter:

  • SCEP (Simple Certificate Enrollment Protocol), som ofte bruker en Microsoft Certificate Authority (CA)-basert (NDES (Network Device Enrollment Service)).
  • DCOM/RPC (ADCertificate), som er avhengig av en Microsoft Windows Server Certificate Authority (CA). 

Om sertifikater

I macOS kan du skaffe deg og fornye sertifikatet ditt med samme profil. macOS varsler deg når sertifikater nærmer seg utløpsdatoen:

  • Når et sertifikat er 15 dager unna utløpsdatoen, får du en påminnelse. 
  • Når et sertifikat er mindre enn 15 dager unna utløpsdatoen, ser du et banner i Varslingssenter. Dette varselet gjentas daglig inntil sertifikatet utløper eller du oppdaterer eller fjerner det.

Hvis du vil oppdatere et sertifikat, går du til Profiler-panelet under Systemvalg. Der klikker du på sertifikatprofilen og deretter på Oppdater. 

Forny med ADCertificate

I Profiler-panelet under Systemvalg klikker du på Oppdater-knappen for å opprette en ny privat nøkkel. Den nye private nøkkelen brukes til å signere sertifikatforespørselen som sendes til CA-en. Det nye sertifikatet fra CA-en knyttes til den nye private nøkkelen.

Det opprinnelige sertifikatet og den opprinnelige private nøkkelen som ble opprettet da profilen ble installert, blir værende i nøkkelringen.

Finn ut hvordan du automatisk fornyer sertifikater som leveres via en konfigureringsprofil.

Forny med SCEP

Klikk på Oppdater-knappen i Profiler-panelet under Systemvalg. Den gjeldende private nøkkelen brukes til å signere sertifikatforespørselen som sendes til CA-en. Når CA-en mottar sertifikatet, knyttes det til den opprinnelige private nøkkelen.

Det opprinnelige sertifikatet som ble opprettet da profilen ble installert, blir værende i nøkkelringen.

Forny gjennom kommandolinjen

Med macOS Sierra 10.12 eller nyere kan du fornye profilgenererte ADCertificate- og SCEP-sertifikater med /usr/bin/profiles-kommandoen. Bruk følgende syntaks i kommandolinjen:

profiles -W -p <profileIdentifier-verdi>

Du finner «profileIdentifier»-verdien ved å føre opp de installerte profilene med kommandoargumentet «-L».

Konfigurer varsler for fornyelse

Yosemite og nyere versjoner av macOS viser et daglig varsel når sertifikatet utløper om mindre enn 14 dager.

Du kan endre tidspunktet for det daglige varselet med to konfigureringsparametere kalt CertificateRenewalTimeInterval og CertificateRenewalTimePercent:

Parameter  Bruksmåte Tillatte verdier Type verdi
CertificateRenewalTimeInterval Profilhåndtering-konfigurasjonsprofil: ADCert eller SCEP Mer enn 14 dager, eller mindre enn maksimumslevetiden til sertifikatet i dager Dager (heltall)
CertificateRenewalTimePercent /usr/sbin/defaults Mellom 1 og 50 Prosent (heltall)

Du kan bruke CertificateRenewalTimePercent med følgende syntaks:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Du kan bruke disse to innstillingene sammen:

  • Hvis CertificateRenewalTimeInterval er definert i profilen, bruker du den verdien.
  • Hvis CertificateRenewalTimeInterval ikke er definert i profilen, men den er definert på klienten, bruker du verdien for CertificateRenewalTimePercent.

Hvis ingen av verdiene er definert, blir tidsområdet angitt til 14 dager.

Finn ut mer

Profilen du brukte til å opprette ADCert- eller SCEP-sertifikatet, kan bli fjernet. Hvis du bruker Mavericks eller nyere versjoner av macOS, fjernes det nyeste sertifikatet og den nyeste private nøkkelen fra nøkkelringen, men det opprinnelige sertifikatet fjernes ikke. Du må slette det.

Profilen du brukte til å skaffe sertifikatet, kan ha annen nyttelast knyttet til sertifikatet. Eksempler på nyttelast inkluderer Nettverk: EAP-TLS, VPN: OnDemand-sertifikatbasert godkjenning. Når sertifikatet fornyes, blir den tilknyttede konfigureringen oppdatert for det nye sertifikatet.

Når et sertifikat fornyes, blir den installerte profilen knyttet til det nye sertifikatet. Når et sertifikat fornyes, blir ingen nye profiler installert eller opprettet.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: