Bruke profilbasert sertifikatfornyelse i OS X

Gjeldende versjoner av OS X inkluderer støtte for fornyelse av sertifikater som anskaffes via en konfigurasjonsprofil.

OS X støtter to metoder for sertifikatregistrering ved bruk av en konfigurasjonsprofil: SCEP (Simple Certificate Enrollment Protocol) og DCOM/RPC (ADCertificate). ADCertificate er avhengig av en Microsoft Windows Server Certificate Authority (CA). SCEP bruker ofte en Microsoft CAs NDES (Network Device Enrollment Service). 

Om sertifikater

I OS X anskaffes sertifikater via en profil som kan fornyes ved bruk av den samme installerte profilen. Når sertifikatet er 15 dager fra utløpsdatoen, viser sertifikatprofilen i Profiler-panelet under Systemvalg en Oppdater-knapp:

Varslingssenter viser også et banner når det er tid for fornyelse (mindre enn 15 dager til sertifikatet utløper).

Denne varslingen gjentas én gang daglig inntil sertifikatet utløper eller en handling iverksettes.

ADCertificate-fornyelse

Klikk på Oppdater-knappen i Profiler-panelet under Systemvalg. En ny privat nøkkel blir opprettet og brukt til å signere sertifikatforespørselen som blir sendt til sertifikatautoriteten (CA). Når det nye sertifikatet mottas fra CA, blir det sammenkoblet med den nye private nøkkelen.

Det opprinnelige sertifikatet og den opprinnelige private nøkkelen som ble opprettet da profilen ble installert, blir værende i nøkkelringen.

SCEP-fornyelse

Klikk på Oppdater-knappen i Profiler-panelet under Systemvalg. Den eksisterende private nøkkelen blir brukt til å signere sertifikatforespørselen som blir sendt til sertifikatautoriteten (CA). Når det fornyede sertifikatet mottas fra CA, blir det sammenkoblet med den opprinnelige private nøkkelen.

Det opprinnelige sertifikatet som ble opprettet da profilen ble installert, blir værende i nøkkelringen.

Konfigurere fornyelsesvarslinger

OS X Yosemite viser som standard en daglig varsling når det er mindre enn 14 dager til det anskaffede sertifikatet utløper. OS X Yosemite har to konfigurasjonsparametere som kan endre denne virkemåten, CertificateRenewalTimeInterval og CertificateRenewalTimePercent. Her er noen detaljer om hver av dem:

Parameternavn Bruksmåte Tillatte verdier Type verdi
CertificateRenewalTimeInterval Profilhåndtering-konfigurasjonsprofil – ADCert eller SCEP Mer enn 14 dager
Mindre enn den maksimale levetiden til sertifikatet i dager
Dager (heltall)
CertificateRenewalTimePercent /usr/sbin/defaults Mellom 1 og 50 Prosent (heltall)

CertificateRenewalTimePercent brukes med syntaks lik den følgende:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

De to innstillingene kan brukes sammen:

  1. Hvis CertificateRenewalTimeInterval er definert i profilen, vil denne verdien bli brukt.
  2. Hvis CertificateRenewalTimeInterval *ikke* er definert i profilen, men CertificateRenewalTimePercent er definert på klienten, vil verdien til CertificateRenewalTimePercent bli brukt.
  3. Hvis ingen av dem er uttrykkelig definert, antas verdien 14 dager for CertificateRenewalTimeInterval.

Finn ut mer

Hvis profilen som ble brukt til å hente ADCert- eller SCEP-sertifikatet, blir fjernet fra Mavericks, vil det sist anskaffede sertifikatet og den private nøkkelen bli fjernet fra nøkkelringen de befinner seg i. Det opprinnelige sertifikatet, som nå er frigjort fra den private nøkkelen, vil ikke bli fjernet, men kan slettes manuelt.

Hvis profilen som ble brukt til å hente sertifikatet, også inneholder andre entiteter knyttet til det anskaffede sertifikatet (Nettverk: EAP-TLS, VPN: OnDemand-sertifikatbasert godkjenning og så videre), vil avhengige konfigurasjoner bli oppdatert for det nye sertifikatet når det blir fornyet.

Når et sertifikat er fornyet, blir den installerte profilen knyttet til det nye sertifikatet.  Ingen ekstra profiler vil bli installert eller opprettet som følge av sertifikatfornyelsen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: