Utilizar a renovação de certificados baseados no perfil no macOS

As versões atuais do macOS incluem suporte para a renovação de certificados adquiridos a partir de um perfil de configuração.

Pode utilizar o macOS para renovar o registo do certificado com o perfil de configuração através de dois métodos:

  • O Simple certificate enrollment protocol (SCEP), que normalmente utiliza um Serviço de Inscrição de Dispositivos de Rede de uma autoridade de certificação (AC) da Microsoft (NDES).
  • O DCOM/RPC (ADCertificate), que é baseado numa Autoridade de certificação (AC) do Microsoft Windows Server. 

Acerca dos certificados

No macOS, pode obter e renovar o certificado com o mesmo perfil. O macOS irá avisá-lo de quando um certificado estiver prestes a expirar:

  • Quando o certificado estiver a 15 dias de expirar, irá receber um lembrete. 
  • Quando o certificado estiver a menos de 15 dias de expirar, será apresentada uma faixa na Central de notificações. Esta notificação aparece uma vez por dia até que o certificado expire, que o atualize ou que o remova.

Para atualizar um certificado, aceda ao painel Perfis das Preferências do sistema e clique no perfil do certificado e, em seguida, em Atualizar. 

Renovar com o ADCertificate

No painel Perfis das Preferências do sistema, clique no botão Atualizar para criar uma nova chave privada. A nova chave privada é utilizada para assinar o pedido de certificado enviado para a AC. O novo certificado da AC é emparelhado com a nova chave privada.

O certificado original e a chave privada que foram criados quando o perfil foi instalado permanecem no porta-chaves.

Saiba como renovar automaticamente certificados distribuídos através de um perfil de configuração.

Renovar com o SCEP

Clique no botão Atualizar no painel Perfis das Preferências do sistema. A chave privada atual é utilizada para assinar o pedido de certificado enviado para a AC. Quando a AC renova o certificado, este é emparelhado com a chave privada original.

O certificado original criado quando o perfil foi instalado permanece no porta-chaves.

Renovar com a linha de comandos

No macOS 10.12 Sierra e posterior, pode renovar os certificados gerados por perfil do ADCertificate e SCEP com o comando /usr/bin/profiles. Utilize a seguinte sintaxe na linha de comandos:

profiles -W -p <profileIdentifier value>

Pode encontrar o valor "profileIdentifier" ao listar os perfis instalados com o argumento de comando -L.

Configurar notificações de renovação

O OS X Yosemite e as versões posteriores do macOS apresentam uma notificação diária quando o certificado está a menos de 14 dias de expirar.

Pode alterar a hora da notificação diária com dois parâmetros de configuração denominados CertificateRenewalTimeInterval e CertificateRenewalTimePercent:

Parâmetro  Método de aplicação Valores permitidos Tipo de valor
CertificateRenewalTimeInterval Perfil de configuração do Gestor de perfis: ADCert ou SCEP Superior a 14 dias ou inferior à duração máxima do certificado em dias Dias (inteiros)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 e 50 Percentagem (inteira)

Pode aplicar o parâmetro CertificateRenewalTimePercent através da seguinte sintaxe:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Pode utilizar estas duas definições em conjunto:

  • Se o parâmetro CertificateRenewalTimeInterval estiver definido no perfil, utilize esse valor.
  • Se o parâmetro CertificateRenewalTimeInterval não estiver definido no perfil, mas estiver definido no cliente, utilize o valor do parâmetro CertificateRenewalTimePercent.

Se nenhum valor estiver definido, o intervalo de tempo é definido para 14 dias.

Saiba mais

O perfil que utilizou para criar o certificado de ADCert ou SCEP poderá ser removido. Se utilizar o Mavericks ou uma versão posterior do macOS, o certificado e a chave privada mais recentes serão removidos do porta-chaves, mas o certificado original não. Terá de o eliminar.

O perfil que utilizou para obter o certificado poderá ter outras cargas ligadas a este. Alguns exemplos de cargas são a Rede: EAP-TLS e a VPN: autenticação baseada em certificados por pedido. Quando o certificado for renovado, as configurações dependentes serão atualizadas para o novo certificado.

Depois de um certificado ser renovado, o perfil instalado é associado ao novo certificado. Quando um certificado for renovado, não serão instalados ou criados perfis adicionais.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: