Używanie funkcji odnawiania certyfikatów opartych na profilu w systemie macOS

System w wersji macOS Catalina i wcześniejszych obsługuje odnawianie certyfikatów uzyskanych z profilu konfiguracji.

W systemie macOS istnieją dwie metody odnawiania rejestracji certyfikatu za pomocą profilu konfiguracji:

• Simple certificate enrollment protocol (SCEP), która często korzysta z Usługi rejestrowania urządzeń sieciowych urzędu certyfikacji firmy Microsoft (NDES).

• DCOM/RPC (ADCertificate), która opiera się na urzędzie certyfikacji systemu Microsoft Windows Server.

Informacje o certyfikatach

W systemie macOS certyfikat można uzyskać i odnowić przy użyciu tego samego profilu. System macOS informuje o zbliżającej się dacie wygaśnięcia certyfikatu:

• Jeśli certyfikat wygasa za 15 dni, otrzymasz przypomnienie.

• Jeśli certyfikat wygasa za mniej niż 15 dni, w centrum powiadomień jest wyświetlany baner. To powiadomienie jest powtarzane raz dziennie, dopóki certyfikat nie wygaśnie lub nie zostanie uaktualniony albo usunięty.

Aby uaktualnić certyfikat, w obszarze Preferencje systemowe, w panelu Profile kliknij profil certyfikatu, a następnie przycisk Uaktualnij.

Odnawianie certyfikatu przy użyciu metody ADCertificate

W obszarze Preferencje systemowe, w panelu Profile kliknij przycisk Uaktualnij, aby utworzyć nowy klucz prywatny. Nowy klucz prywatny zostanie użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Nowy certyfikat otrzymany z urzędu certyfikacji jest zestawiany w parę z nowym kluczem prywatnym.

Oryginalny certyfikat oraz klucz prywatny, które utworzono podczas instalowania profilu, pozostają w pęku kluczy.

Dowiedz się, jak automatycznie odnawiać certyfikaty dostarczone przez profil konfiguracji.

Odnawianie certyfikatu przy użyciu metody SCEP

Kliknij przycisk Uaktualnij w obszarze Preferencje systemowe, w panelu Profile. Istniejący klucz prywatny zostanie użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Po odnowieniu certyfikatu przez urząd certyfikacji jest on zestawiany w parę z oryginalnym kluczem prywatnym.

Oryginalny certyfikat utworzony podczas instalacji profilu pozostaje w pęku kluczy.

Odnawianie certyfikatu z wiersza polecenia

W systemie macOS 10.12 Sierra lub nowszym certyfikaty ADCertificate i SCEP wygenerowane przez profil można odnowić za pomocą polecenia /usr/bin/profiles. Użyj następującej składni w wierszu polecenia:

profiles -W -p

Wartość „profileIdentifier” możesz znaleźć, wyświetlając listę zainstalowanych profili za pomocą argumentu -L polecenia.

Konfigurowanie powiadomień o odnowieniu

System Yosemite i nowsze wersje systemu macOS wyświetlają codziennie powiadomienie przez 14 dni przed wygaśnięciem certyfikatu.

Czas wyświetlania powiadomień możesz zmienić za pomocą dwóch parametrów konfiguracyjnych o nazwie CertificateRenewalTimeInterval i CertificateRenewalTimePercent:

Parametr CertificateRenewalTimePercent można zastosować, korzystając z następującej składni:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Możesz korzystać z następujących dwóch ustawień jednocześnie:

• Jeśli parametr CertificateRenewalTimeInterval jest zdefiniowany w profilu, użyj tej wartości.

• Jeśli parametr CertificateRenewalTimeInterval nie jest zdefiniowany w profilu, ale jest zdefiniowany na kliencie, użyj wartości CertificateRenewalTimePercent.

Jeśli nie zostanie określona żadna wartość, przedział czasu zostanie ustawiony na 14 dni.

Więcej informacji

Profil użyty do utworzenia certyfikatu ADCert lub SCEP może zostać usunięty. Jeśli używasz systemu Mavericks lub nowszej wersji systemu macOS, najnowszy certyfikat i klucz prywatny zostaną usunięte z pęku kluczy, ale oryginalny certyfikat nie, dlatego samodzielnie musisz go usunąć.

Profil użyty do uzyskania certyfikatu może zawierać też inne pakiety danych związane z tym certyfikatem. Przykłady pakietów danych obejmują Sieć: protokoły EAP-TLS, VPN: uwierzytelnianie OnDemand oparte na certyfikatach. Podczas odnawiania certyfikatu zależne konfiguracje zostaną uaktualnione zgodnie z nowym certyfikatem.

Po odnowieniu certyfikatu zainstalowany profil zostanie powiązany z nowym certyfikatem. Podczas odnawiania certyfikatu żadne dodatkowe profile nie zostaną zainstalowane ani utworzone.