Использование продления сертификатов из профиля в macOS

В текущей версии macOS поддерживается продление сертификатов из профиля конфигурации.

Продлить регистрацию сертификатов с помощью профиля конфигурации в macOS можно двумя способами.

  • Протокол Simple Certificate Enrollment Protocol (SCEP), в котором часто используется служба Network Device Enrollment Service (NDES) центра сертификации Microsoft.
  • Протокол DCOM/RPC (ADCertificate), который зависит от центра сертификации Microsoft Windows Server. 

Сведения о сертификатах

В macOS можно получить сертификат и продлить его с помощью одного и того же профиля. macOS предупреждает о приближающейся дате истечения срока действия.

  • Когда до неё останется 15 дней, вы получите напоминание. 
  • Когда до истечения срока действия сертификата останется менее 15 дней, в центре уведомлений отобразится баннер. Такое уведомление появляется раз в день, пока срок действия сертификата не истечет или вы не удалите его.

Чтобы обновить сертификат, перейдите в область «Профили» меню «Системные настройки» и нажмите кнопку «Обновить». 

Продление сертификата с помощью протокола ADCertificate

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить», чтобы создать закрытый ключ. Этот закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Новый сертификат из центра сертификации сопрягается с новым закрытым ключом.

Исходный сертификат и закрытый ключ, которые были созданы при установке профиля, остаются в связке ключей.

Узнайте, как автоматически продлевать сертификаты, передаваемые через профиль конфигурации.

Возобновление действия с помощью протокола SCEP

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить». Текущий закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Когда центр сертификации продлевает сертификат, он объединяет его в пару с исходным закрытым ключом.

Исходный сертификат, созданный при установке профиля, остается в связке ключей.

Продление сертификата с помощью командной строки

В macOS 10.12 Sierra и более поздних версий действие сертификатов, созданных из профиля с помощью протоколов ADCertificate и SCEP можно продлить с помощью команды /usr/bin/profiles. Используйте следующий синтаксис в командной строке.

<значение profileIdentifier>для профилей -W и -p

Значение profileIdentifier можно найти, просмотрев список установленных профилей с помощью аргумента команды -L.

Настройка уведомлений о продлении

В Yosemite и более поздних версиях macOS уведомление отображается раз в день, когда до истечения срока действия сертификата остается менее 14 дней.

Время ежедневного уведомления можно изменить с помощью двух параметров конфигурации: CertificateRenewalTimeInterval и CertificateRenewalTimePercent.

Параметр  Способ применения Допустимые значения Тип значения
CertificateRenewalTimeInterval Профиль конфигурации в менеджере профилей (ADCert или SCEP) Более 14 дней или менее максимального срока действия сертификата в днях Дни (целое число)
CertificateRenewalTimePercent /usr/sbin/defaults От 1 до 50 Доля в процентах (целое число)

Параметр CertificateRenewalTimePercent можно применить с помощью следующего синтаксиса.

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Эти два параметра можно использовать вместе.

  • Если в профиле задан параметр CertificateRenewalTimeInterval, используйте это значение.
  • Если параметр CertificateRenewalTimeInterval задан не в профиле, а в клиенте, используйте значение CertificateRenewalTimePercent.

Если не задано ни одно из значений, временной интервал составляет 14 дней.

Дополнительная информация

Профиль, использовавшийся для создания сертификата из протокола ADCert или SCEP, можно удалить. Если используется Mavericks или более поздняя версия macOS, наиболее недавний сертификат и закрытый ключ удаляются из связки ключей, а исходный сертификат необходимо удалять вручную.

Использовавшийся для получения сертификата профиль может иметь другие полезные нагрузки, привязанные к сертификату. Примеры нагрузок включают следующие способы идентификации на основе сертификатов: EAP-TLS (для обычной сети) и OnDemand (для сети VPN). Когда сертификат продлевается, для него обновляются зависимые конфигурации.

После продления сертификата установленный профиль связывается с новым сертификатом. А также не устанавливаются и не создаются никакие дополнительные профили.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: