Używanie funkcji odnawiania certyfikatów opartych na profilu w systemie OS X

Bieżące wersje systemu OS X obsługują odnawianie certyfikatów uzyskanych z profilu konfiguracji.

System OS X obsługuje dwie metody rejestrowania certyfikatów za pomocą profilu konfiguracji: SCEP (Simple Certificate Enrollment Protocol) oraz DCOM/RPC (ADCertificate). Metoda ADCertificate opiera się na urzędzie certyfikacji systemu Microsoft Windows Server. Metoda SCEP często korzysta z Usługi rejestrowania urządzeń sieciowych urzędu certyfikacji firmy Microsoft (NDES). 

Informacje o certyfikatach

W systemie OS X certyfikaty uzyskiwane z profilu mogą być odnawiane przy użyciu tego samego zainstalowanego profilu. Jeśli certyfikat wygasa za piętnaście dni, w profilu certyfikatu w okienku Profile w Preferencjach systemowych jest wyświetlany przycisk Uaktualnij:

W Centrum powiadomień jest też wyświetlany baner informujący o konieczności uaktualnienia (15 dni przed wygaśnięciem).

To powiadomienie jest powtarzane raz dziennie, dopóki certyfikat nie wygaśnie lub nie zostanie podjęte działanie.

Odnawianie certyfikatu ADCertificate

Kliknij przycisk Uaktualnij w okienku Profile w Preferencjach systemowych. Zostaje utworzony nowy klucz prywatny, który służy do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Po otrzymaniu nowego certyfikatu z urzędu certyfikacji jest on zestawiany w parę z nowym kluczem prywatnym.

Oryginalny certyfikat oraz klucz prywatny, które utworzono podczas instalowania profilu, pozostają w pęku kluczy.

Odnawianie certyfikatu SCEP

Kliknij przycisk Uaktualnij w okienku Profile w Preferencjach systemowych. Istniejący klucz prywatny zostaje użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Po uzyskaniu odnowionego certyfikatu z urzędu certyfikacji jest on zestawiany w parę z oryginalnym kluczem prywatnym.

Oryginalny certyfikat utworzony podczas instalacji profilu pozostaje w pęku kluczy.

Konfigurowanie powiadomień o odnowieniu

Domyślnie system OS X Yosemite wyświetla codziennie powiadomienie przez 14 dni przed wygaśnięciem certyfikatu. System OS X Yosemite udostępnia dwa parametry konfiguracji, za pomocą których można zmodyfikować to zachowanie — CertificateRenewalTimeInterval oraz CertificateRenewalTimePercent. Oto kilka informacji o każdym z tych parametrów:

Nazwa parametru Metoda stosowania Dozwolone wartości Typ wartości
CertificateRenewalTimeInterval Profil konfiguracji narzędzia Profile Manager — ADCert lub SCEP Więcej niż 14 dni
Mniej niż maksymalna liczba dni ważności certyfikatu
Dni (liczba całkowita)
CertificateRenewalTimePercent /usr/sbin/defaults Między 1 a 50 Procent (liczba całkowita)

Parametr CertificateRenewalTimePercent jest stosowany z następującą składnią:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Te dwa ustawienia mogą być używane razem:

  1. Jeśli parametr CertificateRenewalTimeInterval jest zdefiniowany w profilu, zostanie użyta jego wartość.
  2. Jeśli parametr CertificateRenewalTimeInterval NIE jest zdefiniowany w profilu, ale parametr CertificateRenewalTimePercent jest zdefiniowany na komputerze klienckim, zostanie użyta wartość parametru CertificateRenewalTimePercent.
  3. Jeśli żaden z tych parametrów nie jest jasno zdefiniowany, dla parametru CertificateRenewalTimeInterval jest przyjmowana wartość 14 dni.

Więcej informacji

Jeśli profil użyty do uzyskania certyfikatu ADCert lub SCEP zostanie usunięty z systemu Mavericks, ostatnio uzyskany certyfikat oraz klucz prywatny zostaną usunięte z pęku kluczy, w którym się znajdują. Oryginalny certyfikat, który teraz nie ma klucza prywatnego, nie zostanie usunięty (można go usunąć ręcznie).

Jeśli profil użyty do uzyskania certyfikatu zawiera też inne pakiety danych związane z tym certyfikatem (Sieć: protokoły EAP-TLS, VPN: uwierzytelnianie OnDemand oparte na certyfikatach itp.), podczas jego odnawiania zależne konfiguracje zostaną uaktualnione zgodnie z nowym certyfikatem.

Po odnowieniu certyfikatu zainstalowany profil zostanie powiązany z nowym certyfikatem.  Żadne dodatkowe profile nie zostaną zainstalowane ani utworzone w związku z odnowieniem certyfikatu.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: