Používanie obnovovania certifikátov z profilov v systéme macOS

Systém macOS Catalina a staršie verzie podporujú obnovovanie certifikátov získaných z konfiguračného profilu.

V systéme macOS môžete použiť dva spôsoby obnovenia registrácie certifikátov pomocou konfiguračného profilu:

• SCEP (Simple Certificate Enrollment Protocol), ktorý často využíva službu NDES (Network Device Enrollment Service) certifikačnej autority spoločnosti Microsoft.

• DCOM/RPC (ADCertificate), ktorý sa spolieha na certifikačnú autoritu systému Microsoft Windows Server.

Informácie o certifikátoch

V systéme macOS môžete certifikát získať a obnoviť s použitím toho istého profilu. Systém macOS vás upozorní, keď sa blíži dátum vypršania platnosti certifikátu:

• 15 dní pred dátumom vypršania platnosti certifikátu sa vám zobrazí pripomienka.

• Menej ako 15 dní pred dátumom vypršania platnosti certifikátu sa v centre hlásení zobrazí banner. Toto hlásenie sa opakuje raz denne, až kým platnosť certifikátu nevyprší alebo kým ho neaktualizujete alebo neodstránite.

Ak chcete certifikát aktualizovať, na paneli Profily v Systémových nastaveniach kliknite na profil certifikátu a potom kliknite na Aktualizovať.

Obnovenie metódou ADCertificate

Na paneli Profily v Systémových nastaveniach kliknite na tlačidlo Aktualizovať a vytvorte nový súkromný kľúč. Na podpísanie žiadosti o certifikát, ktorá sa odošle certifikačnej autorite, sa použije nový súkromný kľúč. Nový certifikát od certifikačnej autority sa spáruje s novým súkromným kľúčom.

Pôvodný certifikát a súkromný kľúč, ktoré boli vytvorené pri inštalácii profilu, zostanú v kľúčenke.

Prečítajte si, ako automaticky obnovovať certifikáty doručené prostredníctvom konfiguračného profilu.

Obnovenie metódou SCEP

Kliknite na tlačidlo Aktualizovať na paneli Profily v Systémových nastaveniach. Na podpísanie žiadosti o certifikát, ktorá sa odošle certifikačnej autorite, sa použije aktuálny súkromný kľúč. Keď certifikačná autorita certifikát obnoví, spáruje ho s pôvodným súkromným kľúčom.

Pôvodný certifikát, ktorý bol vytvorený pri inštalácii profilu, zostane v kľúčenke.

Obnovenie prostredníctvom príkazového riadka

V systéme macOS 10.12 Sierra a novšom môžete certifikáty vygenerované z profilu metódou ADCertificate a SCEP obnoviť príkazom /usr/bin/profiles. V príkazovom riadku použite nasledujúcu syntax:

profiles -W -p

Hodnotu „identifikátor_profilu“ zistíte zobrazením zoznamu nainštalovaných profilov s argumentom príkazu -L.

Nastavenie hlásení o obnovení

Keď do vypršania platnosti certifikátu zostáva menej ako 14 dní, systém Yosemite a novšie verzie systému macOS zobrazujú hlásenie každý deň, až kým platnosť certifikátu nevyprší.

Čas zobrazovania každodenných hlásení môžete zmeniť pomocou dvoch konfiguračných parametrov s názvom CertificateRenewalTimeInterval a CertificateRenewalTimePercent:

Parameter CertificateRenewalTimePercent môžete použiť s nasledujúcou syntaxou:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Tieto dve nastavenia môžete použiť súčasne:

• Ak je parameter CertificateRenewalTimeInterval definovaný v profile, použite príslušnú hodnotu.

• Ak parameter CertificateRenewalTimeInterval nie je definovaný v profile, no je definovaný v klientovi, použite hodnotu parametra CertificateRenewalTimePercent.

Ak nie je definovaná žiadna z týchto hodnôt, nastaví sa časový interval 14 dní.

Viac informácií

Profil, ktorý ste použili na vytvorenie certifikátu ADCert alebo SCEP, mohol byť odstránený. Ak používate systém Mavericks alebo novšiu verziu systému macOS, najnovší certifikát a súkromný kľúč sa odstránia z kľúčenky, no pôvodný certifikát nie. Musíte ho vymazať.

Profil, ktorý ste použili na získanie certifikátu, môže mať s certifikátom prepojený aj iný objem dát. Príkladmi objemov dát sú Network: EAP-TLS, VPN: OnDemand – overovanie s použitím certifikátov. Keď sa certifikát obnoví, závislé konfigurácie sa aktualizujú pre nový certifikát.

Po obnovení certifikátu sa nainštalovaný profil pridruží k novému certifikátu. Keď sa certifikát obnoví, nebudú sa inštalovať ani vytvárať žiadne ďalšie profily.