Używanie funkcji odnawiania certyfikatów opartych na profilu w systemie macOS

Bieżące wersje systemu macOS obsługują odnawianie certyfikatów uzyskanych z profilu konfiguracji.

W systemie macOS istnieją dwie metody odnawiania rejestracji certyfikatu za pomocą profilu konfiguracji:

  • Simple certificate enrollment protocol (SCEP), która często korzysta z Usługi rejestrowania urządzeń sieciowych urzędu certyfikacji firmy Microsoft (NDES).
  • DCOM/RPC (ADCertificate), która opiera się na urzędzie certyfikacji systemu Microsoft Windows Server. 

Informacje o certyfikatach

W systemie macOS certyfikat można uzyskać i odnowić przy użyciu tego samego profilu. System macOS informuje o zbliżającej się dacie wygaśnięcia certyfikatu:

  • Jeśli certyfikat wygasa za 15 dni, otrzymasz przypomnienie. 
  • Jeśli certyfikat wygasa za mniej niż 15 dni, w centrum powiadomień jest wyświetlany baner. To powiadomienie jest powtarzane raz dziennie, dopóki certyfikat nie wygaśnie lub nie zostanie uaktualniony albo usunięty.

Aby uaktualnić certyfikat, w panelu Profile w Preferencjach systemowych kliknij profil certyfikatu, a następnie przycisk Uaktualnij. 

Odnawianie certyfikatu przy użyciu metody ADCertificate

W okienku Profile w Preferencjach systemowych kliknij przycisk Uaktualnij, aby utworzyć nowy klucz prywatny. Nowy klucz prywatny zostanie użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Nowy certyfikat otrzymany z urzędu certyfikacji jest zestawiany w parę z nowym kluczem prywatnym.

Oryginalny certyfikat oraz klucz prywatny, które utworzono podczas instalowania profilu, pozostają w pęku kluczy.

Dowiedz się, jak automatycznie odnawiać certyfikaty dostarczone przez profil konfiguracji.

Odnawianie certyfikatu przy użyciu metody SCEP

Kliknij przycisk Uaktualnij w panelu Profile w Preferencjach systemowych. Istniejący klucz prywatny zostanie użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Po odnowieniu certyfikatu przez urząd certyfikacji jest on zestawiany w parę z oryginalnym kluczem prywatnym.

Oryginalny certyfikat utworzony podczas instalacji profilu pozostaje w pęku kluczy.

Odnawianie certyfikatu z wiersza polecenia

W systemie macOS 10.12 Sierra lub nowszym certyfikaty ADCertificate i SCEP wygenerowane przez profil można odnowić za pomocą polecenia /usr/bin/profiles. Użyj następującej składni w wierszu polecenia:

profiles -W -p <profileIdentifier value>

Wartość „profileIdentifier” możesz znaleźć, wyświetlając listę zainstalowanych profili za pomocą argumentu -L polecenia.

Konfigurowanie powiadomień o odnowieniu

System Yosemite i nowsze wersje systemu macOS wyświetlają codziennie powiadomienie przez 14 dni przed wygaśnięciem certyfikatu.

Czas wyświetlania powiadomień możesz zmienić za pomocą dwóch parametrów konfiguracyjnych o nazwie CertificateRenewalTimeInterval i CertificateRenewalTimePercent:

Parametr Metoda stosowania Dozwolone wartości Typ wartości
CertificateRenewalTimeInterval Profil konfiguracji narzędzia Profile Manager: ADCert lub SCEP Większe niż 14 i mniejsze niż maksymalna ważność certyfikatu liczona w dniach Dni (liczba całkowita)
CertificateRenewalTimePercent /usr/sbin/defaults Między 1 a 50 Procent (liczba całkowita)

Parametr CertificateRenewalTimePercent można zastosować, korzystając z następującej składni:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Możesz korzystać z następujących dwóch ustawień jednocześnie:

  • Jeśli parametr CertificateRenewalTimeInterval jest zdefiniowany w profilu, użyj tej wartości.
  • Jeśli parametr CertificateRenewalTimeInterval nie jest zdefiniowany w profilu, ale jest zdefiniowany na kliencie, użyj wartości CertificateRenewalTimePercent.

Jeśli nie zostanie określona żadna wartość, przedział czasu zostanie ustawiony na 14 dni.

Więcej informacji

Profil użyty do utworzenia certyfikatu ADCert lub SCEP może zostać usunięty. Jeśli używasz systemu Mavericks lub nowszej wersji systemu macOS, najnowszy certyfikat i klucz prywatny zostaną usunięte z pęku kluczy, ale oryginalny certyfikat nie, dlatego samodzielnie musisz go usunąć.

Profil użyty do uzyskania certyfikatu może zawierać też inne pakiety danych związane z tym certyfikatem. Przykłady pakietów danych obejmują Sieć: protokoły EAP-TLS, VPN: uwierzytelnianie OnDemand oparte na certyfikatach. Podczas odnawiania certyfikatu zależne konfiguracje zostaną uaktualnione zgodnie z nowym certyfikatem.

Po odnowieniu certyfikatu zainstalowany profil zostanie powiązany z nowym certyfikatem. Podczas odnawiania certyfikatu żadne dodatkowe profile nie zostaną zainstalowane ani utworzone.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: