Usar a renovação de certificados baseada em perfis no macOS

O macOS Catalina e versões anteriores incluem suporte para renovar certificados adquiridos de um perfil de configuração.

É possível usar o macOS para renovar inscrições de certificados com o perfil de configuração de duas formas:

• Protocolo de inscrição de certificado simples (SCEP), que geralmente usa um serviço de registro de dispositivo de rede (NDES) da Autoridade de Certificação (CA) da Microsoft.

• DCOM/RPC (ADCertificate), que depende de uma Autoridade de Certificação (CA) do Microsoft Windows Server.

Sobre certificados

No macOS, você pode obter e renovar o certificado com o mesmo perfil. O macOS informa quando a data de expiração do certificado está próxima:

• Você receberá um lembrete quando faltarem 15 dias para a expiração do certificado.

• Um banner será exibido na Central de Notificações quando faltarem menos 15 dias para a expiração do certificado. A notificação será exibida uma vez ao dia até o certificado expirar, ser atualizado ou removido.

Para atualizar um certificado, clique no perfil do certificado e em Atualizar no painel Perfis em Preferências do Sistema.

Renovar com ADCertificate

No painel Perfis em Preferências do Sistema, clique no botão Atualizar para criar uma chave privada. A nova chave privada é usada para assinar o pedido de certificado enviado à CA. O novo certificado da CA é associado à nova chave privada.

O certificado e a chave privada originais criados quando na instalação do perfil permanecem na chave.

Saiba como renovar automaticamente certificados distribuídos por meio de um perfil de configuração.

Renovar com SCEP

Clique no botão Atualizar no painel Perfis em Preferências do Sistema. A chave privada atual é usada para assinar o pedido de certificado enviado à CA. Quando a CA renova o certificado, ele é associado à chave privada original.

O certificado original criado quando o perfil foi instalado permanece na chave.

Renovação por meio da linha de comando

No macOS 10.12 Sierra ou posterior, é possível renovar os certificados gerados por perfil ADCertificate e SCEP com o comando /usr/bin/profiles. Use a seguinte sintaxe na linha de comando:

profiles -W -p

É possível encontrar o valor do "profileIdentifier" listando os perfis instalados com o argumento de comando -L.

Configurar as notificações de renovação

Yosemite e as versões mais recentes do macOS exibem uma notificação diária quando faltam menos de 14 dias para a expiração do certificado.

É possível alterar o horário da notificação diária com dois parâmetros de configuração chamados CertificateRenewalTimeInterval e CertificateRenewalTimePercent:

Você pode aplicar o CertificateRenewalTimePercent com uma sintaxe como esta:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Você pode usar as duas configurações juntas:

• Se o parâmetro CertificateRenewalTimeInterval estiver definido no perfil, use o valor do parâmetro.

• Se o parâmetro CertificateRenewalTimeInterval não estiver definido no perfil, mas estiver definido no cliente, use o valor do parâmetro CertificateRenewalTimePercent.

Se não houver um valor definido, o intervalo de tempo será de 14 dias.

Saiba mais

O perfil usado para criar o certificado ADCert ou SCEP pode ser removido. No Mavericks ou em uma versão mais recente do macOS, o certificado e a chave privada mais recentes são removidos das chaves, mas o certificado original não, é necessário apagá-lo.

O perfil usado para obter o certificado pode ter outros conteúdos vinculados ao certificado. Os exemplos de conteúdo incluem Rede: EAP-TLS, VPN: autenticação OnDemand baseada em certificado. Quando o certificado é renovado, as configurações dependentes são atualizadas com o novo certificado.

Após a renovação de um certificado, o perfil instalado será associado ao novo certificado. Quando um certificado é renovado, nenhum perfil adicional é instalado ou criado.