Utilizar a renovação de certificados baseados no perfil no OS X

As versões atuais do OS X incluem suporte para a renovação de certificados adquiridos a partir de um perfil de configuração.

O OS X suporta dois métodos de registo de certificados utilizando um perfil de configuração: o Simple Certificate Enrollment Protocol (SCEP) e o DCOM/RPC (ADCertificate). O ADCertificate é baseado na Microsoft Windows Server Certificate Authority (CA). O SCEP utiliza frequentemente o Serviço de inscrição de dispositivos de rede da Microsoft Windows Server Certificate Authority (NDES). 

Acerca dos certificados

No OS X, os certificados adquiridos através de um perfil podem ser renovados utilizando o mesmo perfil instalado. Quando o certificado estiver a quinze dias de expirar, o perfil de certificados no painel Perfis das Preferências do sistema apresenta o botão Atualizar:

A Central de notificações também apresenta uma faixa a solicitar a renovação (15 dias antes de expirar).

Esta notificação aparece uma vez por dia até que o certificado expire ou a renovação seja efetuada.

Renovação do ADCertificate

Clique no botão Atualizar no painel Perfis das Preferências do sistema. Uma nova chave privada é criada e utilizada para assinar o certificado solicitado que é enviado à Autoridade de certificação (CA). Quando o novo certificado é obtido a partir da CA, é emparelhado com a nova chave privada.

O certificado original e a chave privada que foram criados quando o perfil foi instalado permanecem no porta-chaves.

Renovação do SCEP

Clique no botão Atualizar no painel Perfis das Preferências do sistema. A chave privada existente é utilizada para assinar o pedido de certificado que é enviado para a Autoridade de certificação (CA). Quando o certificado renovado é obtido a partir da CA, é emparelhado com a chave privada original.

O certificado original criado quando o perfil foi instalado permanece no porta-chaves.

Configurar notificações de renovação

Por predefinição, o OS X Yosemite apresenta uma notificação por dia quando o certificado adquirido está a 14 dias de expirar. O OS X Yosemite oferece dois parâmetros de configuração que podem alterar este comportamento, o CertificateRenewalTimeInterval e o CertificateRenewalTimePercent. Em seguida, surgem alguns detalhes sobre cada um:

Nome do parâmetro Método de aplicação Valores permitidos Tipo de valor
CertificateRenewalTimeInterval Perfil de configuração do Gestor de perfis – ADCert ou SCEP Superior a 14 dias
Inferior ao tempo máximo do certificado, em dias
Dias (inteiros)
CertificateRenewalTimePercent /usr/sbin/defaults Entre 1 e 50 Percentagem (inteira)

O CertificateRenewalTimePercent é aplicado com a sintaxe semelhante à seguinte:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

As duas definições podem ser utilizadas cooperativamente:

  1. Se o CertificateRenewalTimeInterval for definido no perfil, o seu valor será utilizado.
  2. Se o CertificateRenewalTimeInterval *não* for definido no perfil, mas o CertificateRenewalTimePercent for definido no cliente, será utilizado o valor do CertificateRenewalTimePercent.
  3. Se nenhum dos dois for explicitamente definido, é assumido um valor de 14 dias para o CertificateRenewalTimeInterval.

Saiba mais

Se o perfil que foi utilizado para obter o certificado ADCert ou SCEP for removido do Mavericks, o certificado adquirido mais recentemente e a chave privada serão removidos do porta-chaves no qual se encontram. O certificado original, agora separado da sua chave privada, será removido e pode ser apagado manualmente.

Se o perfil utilizado para obter o certificado também contiver outras entidades ligadas ao certificado obtido (Rede: EAP-TLS, VPN: autenticação baseada em certificação por pedido, entre outras), quando o certificado for renovado, as configurações dependentes serão atualizadas para o novo certificado.

Depois de um certificado ser renovado, o perfil instalado é associado ao novo certificado.  Não serão criados ou instalados perfis adicionais como resultado de uma renovação de certificado.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: