Usar a renovação de certificados baseada em perfis no macOS

As versões atuais do macOS incluem suporte para renovação de certificados obtidos de um perfil de configuração.

Você pode usar o macOS para renovar inscrições de certificados com o perfil de configuração de duas formas:

  • Protocolo de inscrição de certificado simples (SCEP), que geralmente usa um serviço de registro de dispositivo de rede (NDES) da Autoridade de Certificação (CA) da Microsoft.
  • DCOM/RPC (ADCertificate), que depende de uma Autoridade de Certificação (CA) do Microsoft Windows Server. 

Sobre certificados

Você pode obter e renovar o certificado com o mesmo perfil no macOS. O macOS informa quando a data de expiração do certificado está próxima:

  • Você receberá um lembrete quando faltarem 15 dias para a expiração do certificado. 
  • Um banner será exibido na Central de Notificações quando faltarem menos 15 dias para a expiração do certificado. A notificação será exibida uma vez ao dia até o certificado expirar, ser atualizado ou removido.

Para atualizar um certificado, clique no perfil do certificado e em Atualizar no painel Perfis em Preferências do Sistema. 

Renovar com ADCertificate

No painel Perfis em Preferências do Sistema, clique no botão Atualizar para criar uma chave privada. A nova chave privada é usada para assinar o pedido de certificado enviado à CA. O novo certificado da CA é associado à nova chave privada.

O certificado e a chave privada originais que foram criados quando o perfil foi instalado permanecem na chave.

Saiba como renovar automaticamente certificados distribuídos por meio de um perfil de configuração.

Renovar com SCEP

Clique no botão Atualizar no painel Perfis em Preferências do Sistema. A chave privada atual é usada para assinar o pedido de certificado enviado à CA. Quando a CA renova o certificado, ele é associado à chave privada original.

O certificado original criado quando o perfil foi instalado permanece na chave.

Renovação por meio da linha de comando

No macOS 10.12 Sierra ou posterior, é possível renovar os certificados gerados por perfil ADCertificate e SCEP com o comando /usr/bin/profiles. Use a seguinte sintaxe na linha de comando:

profiles -W -p <valor do profileIdentifier>

É possível encontrar o valor do "profileIdentifier" listando os perfis instalados com o argumento de comando -L.

Configurar as notificações de renovação

Yosemite e as versões mais recentes do macOS exibem uma notificação diária quando faltam menos de 14 dias para a expiração do certificado.

É possível alterar o horário da notificação diária com dois parâmetros de configuração chamados CertificateRenewalTimeInterval e CertificateRenewalTimePercent:

Parâmetro  Método de aplicação Valores permitidos Tipo de valor
CertificateRenewalTimeInterval Perfil de configuração do Gerenciador de Perfis: ADCert ou SCEP Superior a 14 dias ou inferior à vida útil do certificado em dias Dias (inteiro)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 e 50 Porcentagem (inteiro)

Você pode aplicar o CertificateRenewalTimePercent com uma sintaxe como esta:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Você pode usar as duas configurações juntas:

  • Se o parâmetro CertificateRenewalTimeInterval estiver definido no perfil, use o valor do parâmetro.
  • Se o parâmetro CertificateRenewalTimeInterval não estiver definido no perfil, mas estiver definido no cliente, use o valor do parâmetro CertificateRenewalTimePercent.

Se não houver nenhum valor definido, o intervalo de tempo será de 14 dias.

Saiba mais

O perfil usado para criar o certificado ADCert ou SCEP pode ser removido. No Mavericks ou em uma versão mais recente do macOS, o certificado e a chave privada mais recentes são removidos das chaves, mas o certificado original não, é necessário apagá-lo.

O perfil usado para obter o certificado pode ter outros conteúdos vinculados ao certificado. Os exemplos de conteúdo incluem Rede: EAP-TLS, VPN: autenticação OnDemand baseada em certificado. Quando o certificado é renovado, as configurações dependentes são atualizadas com o novo certificado.

Após a renovação de um certificado, o perfil instalado será associado ao novo certificado. Quando um certificado é renovado, nenhum perfil adicional é instalado ou criado.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: