Utilizarea reînnoirii certificatelor pe bază pe profil în macOS
macOS Catalina și versiunile anterioare includ suport pentru reînnoirea certificatelor achiziționate dintr-un profil de configurare.
Poți utiliza macOS pentru a-ți reînnoi înregistrarea la certificat cu profilul de configurare prin două metode:
Protocolul simplu de înscriere a certificatelor (SCEP), care utilizează adesea un serviciu de înscriere a dispozitivelor de rețea al autorității de certificare (CA) Microsoft (NDES).
DCOM/RPC (ADCertificate), care se bazează pe o autoritate de certificare (CA) Microsoft Windows Server.
Despre certificate
În macOS, poți obține și reînnoi certificatul cu același profil. macOS te alertează când un certificat se aproprie de data expirării:
Când un certificat mai are 15 zile până la data expirării, primești un memento.
Când un certificat are mai puțin de 15 zile până la data expirării, în Centrul de notificări apare un banner. Această notificare se repetă o dată pe zi până când certificatul expiră, îl actualizezi sau îl elimini.
Pentru a actualiza un certificat, în panoul Profiluri din Preferințe sistem, fă clic pe profilul pentru certificat, apoi fă clic pe Actualizare.
Reînnoirea cu ADCertificate
În panoul Profiluri din Preferințe sistem, fă clic pe butonul Actualizare pentru a crea o cheie privată nouă. Noua cheie privată este utilizată pentru semnarea solicitării de certificat care este trimisă la CA. Certificatul nou de la CA este asociat cu cheia privată nouă.
Certificatul original și cheia privată care au fost create atunci când profilul a fost instalat rămân în portchei.
Află cum să reînnoiești automat certificatele livrate prin intermediul unui profil de configurare.
Reînnoirea cu SCEP
Fă clic pe butonul Actualizare din panoul Profiluri din Preferințe sistem. Cheia privată curentă este utilizată pentru semnarea solicitării de certificat care este trimisă la CA. Când CA reînnoiește certificatul, îl asociază cu cheia privată originală.
Certificatul original care a fost creat la instalarea profilului rămâne în portchei.
Reînnoirea prin linia de comandă
În macOS 10.12 Sierra și versiunile ulterioare, poți reînnoi certificatele generate de ADCertificate și SCEP folosind comanda /usr/bin/profiles
. Folosește această sintaxă în linia de comandă:
profiles -W -p
Poți găsi valoarea "profileIdentifier" listând profilurile instalate cu argumentul de comandă -L.
Configurarea notificărilor de reînnoire
Yosemite și versiunile ulterioare de macOS afișează o notificare zilnică atunci când certificatul are mai puțin de 14 zile până când expiră.
Poți schimba ora notificării zilnice folosind doi parametri de configurare denumiți CertificateRenewalTimeInterval și CertificateRenewalTimePercent:
Parametru | Metodă de aplicare | Valori permise | Tip de valoare |
CertificateRenewalTimeInterval | Profil de configurare Profile Manager: ADCert sau SCEP | Mai mare de 14 zile sau mai mică decât durata maximă de valabilitate a certificatului în zile | Zile (întreg) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Între 1 și 50 | Procentaj (întreg) |
Poți aplica CertificateRenewalTimePercent cu o sintaxă precum aceasta:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Poți folosi aceste două configurări împreună:
Dacă valoarea CertificateRenewalTimeInterval este definită în profil, utilizează acea valoare.
Dacă valoarea CertificateRenewalTimeInterval nu este definită în profil, dar este definită pe client, utilizează valoarea CertificateRenewalTimePercent.
Dacă nu este definită nicio valoare, intervalul de timp este stabilit la 14 zile.
Află mai multe
Profilul pe care l-ai folosit pentru a crea certificatul ADCert sau SCEP ar putea fi eliminat. Dacă folosești Mavericks sau o versiune ulterioară de macOS, cel mai recent certificat și cheia privată sunt eliminate din portchei, însă certificatul original nu este eliminat. Trebuie să-l ștergi.
Profilul pe care l-ai folosit pentru a obține certificatul ar putea avea alte sarcini legate de certificat. Printre exemplele de sarcini se numără Network: EAP-TLS, VPN: OnDemand certificate-based authentication. După reînnoirea certificatului, configurațiile dependente sunt actualizate pentru noul certificat.
După reînnoirea unui certificat, profilul instalat este asociat cu noul certificat. După reînnoirea unui certificat, nu sunt instalate sau create profiluri suplimentare.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.