Używanie funkcji odnawiania certyfikatów opartych na profilu w systemie macOS

Bieżące wersje systemu macOS obsługują odnawianie certyfikatów uzyskanych z profilu konfiguracji.

W systemie macOS istnieją dwie metody odnawiania rejestracji certyfikatu za pomocą profilu konfiguracji:

  • Simple certificate enrollment protocol (SCEP), która często korzysta z Usługi rejestrowania urządzeń sieciowych urzędu certyfikacji firmy Microsoft (NDES).
  • DCOM/RPC (ADCertificate), która opiera się na urzędzie certyfikacji systemu Microsoft Windows Server. 

Informacje o certyfikatach

W systemie macOS certyfikat można uzyskać i odnowić przy użyciu tego samego profilu. System macOS informuje o zbliżającej się dacie wygaśnięcia certyfikatu:

  • Jeśli certyfikat wygasa za 15 dni, otrzymasz przypomnienie. 
  • Jeśli certyfikat wygasa za mniej niż 15 dni, w centrum powiadomień jest wyświetlany baner. To powiadomienie jest powtarzane raz dziennie, dopóki certyfikat nie wygaśnie lub nie zostanie uaktualniony albo usunięty.

Aby uaktualnić certyfikat, w panelu Profile w Preferencjach systemowych kliknij profil certyfikatu, a następnie przycisk Uaktualnij. 

Odnawianie certyfikatu przy użyciu metody ADCertificate

W okienku Profile w Preferencjach systemowych kliknij przycisk Uaktualnij, aby utworzyć nowy klucz prywatny. Nowy klucz prywatny zostanie użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Nowy certyfikat otrzymany z urzędu certyfikacji jest zestawiany w parę z nowym kluczem prywatnym.

Oryginalny certyfikat oraz klucz prywatny, które utworzono podczas instalowania profilu, pozostają w pęku kluczy.

Dowiedz się, jak automatycznie odnawiać certyfikaty dostarczone przez profil konfiguracji.

Odnawianie certyfikatu przy użyciu metody SCEP

Kliknij przycisk Uaktualnij w panelu Profile w Preferencjach systemowych. Istniejący klucz prywatny zostanie użyty do podpisania żądania certyfikatu wysyłanego do urzędu certyfikacji. Po odnowieniu certyfikatu przez urząd certyfikacji jest on zestawiany w parę z oryginalnym kluczem prywatnym.

Oryginalny certyfikat utworzony podczas instalacji profilu pozostaje w pęku kluczy.

Odnawianie certyfikatu z wiersza polecenia

W systemie macOS 10.12 Sierra lub nowszym certyfikaty ADCertificate i SCEP wygenerowane przez profil można odnowić za pomocą polecenia /usr/bin/profiles. Użyj następującej składni w wierszu polecenia:

profiles -W -p <profileIdentifier value>

Wartość „profileIdentifier” możesz znaleźć, wyświetlając listę zainstalowanych profili za pomocą argumentu -L polecenia.

Konfigurowanie powiadomień o odnowieniu

System Yosemite i nowsze wersje systemu macOS wyświetlają codziennie powiadomienie przez 14 dni przed wygaśnięciem certyfikatu.

Czas wyświetlania powiadomień możesz zmienić za pomocą dwóch parametrów konfiguracyjnych o nazwie CertificateRenewalTimeInterval i CertificateRenewalTimePercent:

Parametr Metoda stosowania Dozwolone wartości Typ wartości
CertificateRenewalTimeInterval Profil konfiguracji narzędzia Profile Manager: ADCert lub SCEP Większe niż 14 i mniejsze niż maksymalna ważność certyfikatu liczona w dniach Dni (liczba całkowita)
CertificateRenewalTimePercent /usr/sbin/defaults Między 1 a 50 Procent (liczba całkowita)

Parametr CertificateRenewalTimePercent można zastosować, korzystając z następującej składni:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Możesz korzystać z następujących dwóch ustawień jednocześnie:

  • Jeśli parametr CertificateRenewalTimeInterval jest zdefiniowany w profilu, użyj tej wartości.
  • Jeśli parametr CertificateRenewalTimeInterval nie jest zdefiniowany w profilu, ale jest zdefiniowany na kliencie, użyj wartości CertificateRenewalTimePercent.

Jeśli nie zostanie określona żadna wartość, przedział czasu zostanie ustawiony na 14 dni.

Więcej informacji

Profil użyty do utworzenia certyfikatu ADCert lub SCEP może zostać usunięty. Jeśli używasz systemu Mavericks lub nowszej wersji systemu macOS, najnowszy certyfikat i klucz prywatny zostaną usunięte z pęku kluczy, ale oryginalny certyfikat nie, dlatego samodzielnie musisz go usunąć.

Profil użyty do uzyskania certyfikatu może zawierać też inne pakiety danych związane z tym certyfikatem. Przykłady pakietów danych obejmują Sieć: protokoły EAP-TLS, VPN: uwierzytelnianie OnDemand oparte na certyfikatach. Podczas odnawiania certyfikatu zależne konfiguracje zostaną uaktualnione zgodnie z nowym certyfikatem.

Po odnowieniu certyfikatu zainstalowany profil zostanie powiązany z nowym certyfikatem. Podczas odnawiania certyfikatu żadne dodatkowe profile nie zostaną zainstalowane ani utworzone.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: