Como usar a renovação de certificados baseada em perfis no OS X

As versões atuais do OS X incluem suporte para renovação de certificados adquiridos de um perfil de configuração.

O OS X é compatível com dois métodos de inscrição de certificado usando um perfil de configuração: protocolo de inscrição de certificado simples (SCEP) e DCOM/RPC (ADCertificate). O ADCertificate depende de uma Autoridade de Certificação (CA) do Microsoft Windows Server. O SCEP usa com frequência um Serviço de Registro de Dispositivo de Rede (NDES) da CA da Microsoft. 

Sobre certificados

No OS X, os certificados adquiridos por um perfil podem ser renovados usando o mesmo perfil instalado. Quando faltar 15 dias para a data de expiração do certificado, o perfil do certificado no painel Perfis das Preferências do Sistema exibirá um botão Atualizar:

A Central de Notificações também exibirá um banner quando for hora de renovar (15 dias antes da expiração).

Essa notificação será repetida uma vez por dia até que o certificado expire ou que se adote uma ação.

Renovação do ADCertificate

Clique no botão Atualizar no painel Perfis das Preferências do Sistema. Uma nova chave privada será criada para assinar a solicitação do certificado que é enviada à Autoridade de Certificação (CA). Quando o novo certificado for obtido da CA, ele será emparelhado com a nova chave privada.

O certificado e a chave privada originais que foram criados quando o perfil foi instalado permanecem na chave.

Renovação do SCEP

Clique no botão Atualizar no painel Perfis das Preferências do Sistema. A chave privada existente será usada para assinar a solicitação do certificado que é enviada à Autoridade de Certificação (CA). Quando o certificado renovado for obtido da CA, ele será emparelhado com a chave privada original.

O certificado original criado quando o perfil foi instalado permanece na chave.

Configurando notificações de renovação

Por padrão, o OS X Yosemite exibe uma notificação diária quando faltar 14 dias para a expiração do certificado adquirido. O OS X Yosemite oferece dois parâmetros de configuração que podem modificar esse comportamento: CertificateRenewalTimeInterval e CertificateRenewalTimePercent. Veja alguns detalhes sobre eles:

Nome do Parâmetro Método de Aplicação Valores Permitidos Tipo de Valor
CertificateRenewalTimeInterval Perfil de configuração do Gerenciador de Perfil – ADCert ou SCEP Mais de 14 dias
Menos do que o prazo máximo do certificado em dias
Dias (inteiro)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 e 50 Porcentagem (inteiro)

O CertificateRenewalTimePercent é aplicado com a seguinte sintaxe:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Os dois ajustes podem ser usados cooperativamente:

  1. Se o CertificateRenewalTimeInterval estiver definido no perfil, seu valor será usado.
  2. Se o CertificateRenewalTimeInterval *não* estiver definido no perfil, mas o CertificateRenewalTimePercent estiver definido no cliente, o valor do CertificateRenewalTimePercent será usado.
  3. Se nenhum dos dois estiver definido explicitamente, será presumido um valor de 14 dias para o CertificateRenewalTimeInterval.

Saiba mais

Se o perfil usado para obter o certificado ADCert ou SCEP for removido do Mavericks, o certificado e a chave privada adquiridos mais recentemente serão removidos da chave em que residem. O certificado original, agora órfão de sua chave privada, não será removido e poderá ser apagado manualmente.

Se o perfil usado para obter o certificado também contiver outros dados vinculados ao certificado obtido (Rede: EAP-TLS, VPN: autenticação OnDemand baseada em certificado, etc.) quando o certificado for renovado, os ajustes dependentes serão atualizados para o novo certificado.

Após a renovação de um certificado, o perfil instalado será associado ao novo certificado.  Nenhum perfil adicional será instalado ou criado como resultado da renovação do certificado.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: