Использование функции возобновления действия сертификатов из профиля в ОС OS X

Текущие версии ОС OS X включают в себя поддержку возобновления действия сертификатов, полученных из профиля конфигурации.

ОС OS X поддерживает два способа регистрации сертификатов с помощью профиля конфигурации: по простому протоколу регистрации сертификатов (SCEP) и через DCOM/RPC (ADCertificate). Работа ADCertificate зависит от центра сертификации Microsoft Windows Server (CA). SCEP часто использует службу регистрации сертификатов для сетевых устройств центра сертификации Майкрософт (NDES). 

Сведения о сертификатах

В ОС OS X действие сертификатов, полученных через профиль, можно возобновить с помощью того же установленного профиля. Когда до окончания срока действия сертификата остается пятнадцать дней, профиль сертификата в области «Профили» окна системных настроек отображает кнопку «Обновить».

В центре уведомлений также отображается баннер, когда наступает время для возобновления срока действия (в течение 15 дней до его окончания).

Указанное уведомление повторяется раз в день до тех пор, пока срок действия сертификата не завершится или не будет предпринято определенное действие.

Возобновление действия через ADCertificate

В области «Профили» окна «Системные настройки» нажмите кнопку «Обновить». Создается новый частный ключ, который используется для подписывания запроса на сертификат, отправляемый в центр сертификации (CA). При получении нового сертификата из центра сертификации он связывается с новым частным ключом.

Исходный сертификат и частный ключ, которые были созданы при установке профиля, остаются в связке ключей.

Возобновление действия через SCEP

В области «Профили» окна «Системные настройки» нажмите кнопку «Обновить». Существующий частный ключ используется для подписывания запроса на сертификат, отправляемый в центр сертификации (CA). При получении обновленного сертификата из центра сертификации он связывается с исходным частным ключом.

Исходный сертификат, созданный при установке профиля, остается в связке ключей.

Настройка уведомлений о возобновлении действия

По умолчанию в ОС OS X Yosemite ежедневно отображается уведомление, когда до окончания срока действия полученного сертификата остается 14 дней. OS X Yosemite предлагает два параметра конфигурации, которые могут изменить принцип действия таких уведомлений: CertificateRenewalTimeInterval и CertificateRenewalTimePercent. Ниже приведены некоторые сведения о каждом из них.

Название параметра Способ применения Допустимые значения Тип значения
CertificateRenewalTimeInterval Профиль конфигурации в Менеджере профилей — ADCert или SCEP Более 14 дней
Менее максимального срока службы сертификата в днях
Дни (целое число)
CertificateRenewalTimePercent /usr/sbin/defaults От 1 до 50 Доля в процентах (целое число)

CertificateRenewalTimePercent применяется в соответствии с синтаксисом, подобным представленному ниже.

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Два параметра можно использовать совместно.

  1. Если в профиле определен параметр CertificateRenewalTimeInterval, будет использоваться его значение.
  2. Если параметр CertificateRenewalTimeInterval *не* определен в профиле, но CertificateRenewalTimePercent определен на клиенте, будет использоваться значение CertificateRenewalTimePercent.
  3. Если ни один из параметров однозначно не определен, для параметра CertificateRenewalTimeInterval предполагается использовать значение, равное 14 дням.

Дополнительная информация

Если профиль, который использовался для получения сертификата ADCert или SCEP, удален из системы Mavericks, последний полученный сертификат и частный ключ будут удалены из связки ключей, в которой они хранятся. Исходный сертификат, который потеряет связь со своим частным ключом, не удалится автоматически, но может быть удален вручную.

Если профиль, который использовался для получения сертификата, также содержит другие компоненты, связанные с полученным сертификатом (сеть: EAP-TLS, VPN: аутентификация на основе сертификатов по требованию и т. д.), при обновлении сертификата зависимые конфигурации будут обновлены для нового сертификата.

После обновления сертификата установленный профиль связывается с новым сертификатом.  В результате возобновления действия сертификата никаких дополнительных профилей не будет создано или установлено.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: