Utilizarea reînnoirii certificatelor pe bază pe profil în macOS

macOS Catalina și versiunile anterioare includ suport pentru reînnoirea certificatelor achiziționate dintr-un profil de configurare.

Poți utiliza macOS pentru a-ți reînnoi înregistrarea la certificat cu profilul de configurare prin două metode:

• Protocolul simplu de înscriere a certificatelor (SCEP), care utilizează adesea un serviciu de înscriere a dispozitivelor de rețea al autorității de certificare (CA) Microsoft (NDES).

• DCOM/RPC (ADCertificate), care se bazează pe o autoritate de certificare (CA) Microsoft Windows Server.

Despre certificate

În macOS, poți obține și reînnoi certificatul cu același profil. macOS te alertează când un certificat se aproprie de data expirării:

• Când un certificat mai are 15 zile până la data expirării, primești un memento.

• Când un certificat are mai puțin de 15 zile până la data expirării, în Centrul de notificări apare un banner. Această notificare se repetă o dată pe zi până când certificatul expiră, îl actualizezi sau îl elimini.

Pentru a actualiza un certificat, în panoul Profiluri din Preferințe sistem, fă clic pe profilul pentru certificat, apoi fă clic pe Actualizare.

Reînnoirea cu ADCertificate

În panoul Profiluri din Preferințe sistem, fă clic pe butonul Actualizare pentru a crea o cheie privată nouă. Noua cheie privată este utilizată pentru semnarea solicitării de certificat care este trimisă la CA. Certificatul nou de la CA este asociat cu cheia privată nouă.

Certificatul original și cheia privată care au fost create atunci când profilul a fost instalat rămân în portchei.

Află cum să reînnoiești automat certificatele livrate prin intermediul unui profil de configurare.

Reînnoirea cu SCEP

Fă clic pe butonul Actualizare din panoul Profiluri din Preferințe sistem. Cheia privată curentă este utilizată pentru semnarea solicitării de certificat care este trimisă la CA. Când CA reînnoiește certificatul, îl asociază cu cheia privată originală.

Certificatul original care a fost creat la instalarea profilului rămâne în portchei.

Reînnoirea prin linia de comandă

În macOS 10.12 Sierra și versiunile ulterioare, poți reînnoi certificatele generate de ADCertificate și SCEP folosind comanda /usr/bin/profiles. Folosește această sintaxă în linia de comandă:

profiles -W -p

Poți găsi valoarea "profileIdentifier" listând profilurile instalate cu argumentul de comandă -L.

Configurarea notificărilor de reînnoire

Yosemite și versiunile ulterioare de macOS afișează o notificare zilnică atunci când certificatul are mai puțin de 14 zile până când expiră.

Poți schimba ora notificării zilnice folosind doi parametri de configurare denumiți CertificateRenewalTimeInterval și CertificateRenewalTimePercent:

Poți aplica CertificateRenewalTimePercent cu o sintaxă precum aceasta:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Poți folosi aceste două configurări împreună:

• Dacă valoarea CertificateRenewalTimeInterval este definită în profil, utilizează acea valoare.

• Dacă valoarea CertificateRenewalTimeInterval nu este definită în profil, dar este definită pe client, utilizează valoarea CertificateRenewalTimePercent.

Dacă nu este definită nicio valoare, intervalul de timp este stabilit la 14 zile.

Află mai multe

Profilul pe care l-ai folosit pentru a crea certificatul ADCert sau SCEP ar putea fi eliminat. Dacă folosești Mavericks sau o versiune ulterioară de macOS, cel mai recent certificat și cheia privată sunt eliminate din portchei, însă certificatul original nu este eliminat. Trebuie să-l ștergi.

Profilul pe care l-ai folosit pentru a obține certificatul ar putea avea alte sarcini legate de certificat. Printre exemplele de sarcini se numără Network: EAP-TLS, VPN: OnDemand certificate-based authentication. După reînnoirea certificatului, configurațiile dependente sunt actualizate pentru noul certificat.

După reînnoirea unui certificat, profilul instalat este asociat cu noul certificat. După reînnoirea unui certificat, nu sunt instalate sau create profiluri suplimentare.