Utilizar a renovação de certificados baseados no perfil no macOS
O macOS Catalina e anterior inclui suporte para renovar certificados adquiridos a partir de um perfil de configuração.
Pode utilizar o macOS para renovar o registo do certificado com o perfil de configuração através de dois métodos:
O Simple certificate enrollment protocol (SCEP), que normalmente utiliza um Serviço de Inscrição de Dispositivos de Rede de uma autoridade de certificação (AC) da Microsoft (NDES).
O DCOM/RPC (ADCertificate), que é baseado numa Autoridade de certificação (AC) do Microsoft Windows Server.
Acerca dos certificados
No macOS, pode obter e renovar o certificado com o mesmo perfil. O macOS irá avisá-lo de quando um certificado estiver prestes a expirar:
Quando o certificado estiver a 15 dias de expirar, irá receber um lembrete.
Quando o certificado estiver a menos de 15 dias de expirar, será apresentada uma faixa na Central de notificações. Esta notificação aparece uma vez por dia até que o certificado expire, que o atualize ou que o remova.
Para atualizar um certificado, aceda ao painel Perfis das Preferências do sistema, clique no perfil do certificado e, em seguida, clique em Atualizar.
Renovar com o ADCertificate
No painel Perfis das Preferências do sistema, clique no botão Atualizar para criar uma nova chave privada. A nova chave privada é utilizada para assinar o pedido de certificado enviado para a AC. O novo certificado da AC é emparelhado com a nova chave privada.
O certificado original e a chave privada que foram criados quando o perfil foi instalado permanecem no porta-chaves.
Saiba como renovar automaticamente certificados distribuídos através de um perfil de configuração.
Renovar com o SCEP
Clique no botão Atualizar no painel Perfis das Preferências do sistema. A chave privada atual é utilizada para assinar o pedido de certificado enviado para a AC. Quando a AC renova o certificado, este é emparelhado com a chave privada original.
O certificado original criado quando o perfil foi instalado permanece no porta-chaves.
Renovar com a linha de comandos
No macOS 10.12 Sierra e posterior, pode renovar os certificados gerados por perfil do ADCertificate e SCEP com o comando /usr/bin/profiles. Utilize a seguinte sintaxe na linha de comandos:
profiles -W -p
Pode encontrar o valor "profileIdentifier" ao listar os perfis instalados com o argumento de comando -L.
Configurar notificações de renovação
O OS X Yosemite e as versões posteriores do macOS apresentam uma notificação diária quando o certificado está a menos de 14 dias de expirar.
Pode alterar a hora da notificação diária com dois parâmetros de configuração denominados CertificateRenewalTimeInterval e CertificateRenewalTimePercent:
Parâmetro | Método de aplicação | Valores permitidos | Tipo de valor |
CertificateRenewalTimeInterval | Perfil de configuração do Gestor de perfis: ADCert ou SCEP | Superior a 14 dias ou inferior à duração máxima do certificado em dias | Dias (número inteiro) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Entre 1 e 50 | Percentagem (número inteiro) |
Pode aplicar o parâmetro CertificateRenewalTimePercent através da seguinte sintaxe:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Pode utilizar estas duas definições em conjunto:
Se o parâmetro CertificateRenewalTimeInterval estiver definido no perfil, utilize esse valor.
Se o parâmetro CertificateRenewalTimeInterval não estiver definido no perfil, mas estiver definido no cliente, utilize o valor do parâmetro CertificateRenewalTimePercent.
Se nenhum valor estiver definido, o intervalo de tempo é definido para 14 dias.
Mais informações
O perfil que utilizou para criar o certificado de ADCert ou SCEP poderá ser removido. Se utilizar o Mavericks ou uma versão posterior do macOS, o certificado e a chave privada mais recentes serão removidos do porta-chaves, mas o certificado original não. Terá de o eliminar.
O perfil que utilizou para obter o certificado poderá ter outras entidades ligadas a este. Alguns exemplos de entidades são a Rede: EAP-TLS e a VPN: autenticação baseada em certificados por pedido. Quando o certificado for renovado, as configurações dependentes serão atualizadas para o novo certificado.
Depois de um certificado ser renovado, o perfil instalado é associado ao novo certificado. Quando um certificado for renovado, não serão instalados ou criados perfis adicionais.
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.
