Uporaba podaljšanja potrdila na podlagi profila v sistemu macOS
Sistemi macOS Catalina in starejše različice vključujejo podporo za podaljšanje potrdil, pridobljenih iz konfiguracijskega profila.
Sistem macOS lahko za podaljšanje registracije potrdil s svojim konfiguracijskim profilom uporabiš na dva načina:
S protokolom SCEP (angl. Simple Certificate Enrollment Protocol), ki pogosto uporablja storitev NDES (angl. Network Device Enrollment Service) Microsoftovega overitelja potrdil (CA) (NDES).
S protokolom DCOM/RPC (ADCertificate), ki temelji na overitelju potrdil sistema Microsoft Windows Server (CA).
O potrdilih
V sistemu macOS lahko potrdilo pridobiš in podaljšaš z istim profilom. Sistem macOS te opozori, ko se približuje datum izteka veljavnosti potrdila:
Opomnik se prikaže, ko je do izteka veljavnosti potrdila še 15 dni.
Ko je do izteka veljavnosti potrdila manj kot 15 dni, se v središču za obvestila prikaže pasica. To obvestilo se ponovno pojavlja enkrat na dan, dokler se veljavnost potrdila ne izteče oziroma dokler ga ne posodobiš ali odstraniš.
Če želiš posodobiti potrdilo, v podoknu »Profiles« (Profili) možnosti »System Preferences« (Nastavitve sistema) klikni profil potrdila in nato še »Update« (Posodobi).
Podaljšanje s storitvijo ADCertificate
V podoknu »Profiles« (Profili) razdelka »System Preferences« (Nastavitve sistema) klikni gumb »Update« (Posodobi), da ustvariš nov zasebni ključ. Z novim zasebnim ključem podpišeš zahtevo za potrdilo, ki je poslana overitelju potrdil (CA). Novo potrdilo overitelja potrdil se poveže z novim zasebnim ključem.
Izvirno potrdilo in zasebni ključ, ki sta bila ustvarjena ob namestitvi profila, ostaneta v verigi ključev.
Oglej si navodila za samodejno podaljšanje potrdil, dostavljenih prek konfiguracijskega profila.
Podaljšanje s protokolom SCEP
V podoknu »Profiles« (Profili) razdelka »System Preferences« (Nastavitve sistema) klikni gumb »Update« (Posodobi). Trenutni zasebni ključ se uporabi za podpisovanje zahteve za potrdilo, ki je poslana overitelju potrdil. Ko overitelj potrdil obnovi potrdilo, ga poveže z originalnim zasebnim ključem.
Izvirno potrdilo, ki je bilo ustvarjeno ob namestitvi profila, ostane v verigi ključev.
Podaljšanje prek ukazne vrstice
V sistemu macOS 10.12 Sierra in novejših različicah lahko potrdila, ustvarjena s storitvijo ADCertificate in protokolom SCEP podaljšaš z ukazom /usr/bin/profiles. V ukazno vrstico vnesi to sintakso:
profiles -W -p
Vrednost »profileIdentifier« najdeš tako, da nameščene profile navedeš z argumentom ukaza -L.
Nastavitev obvestil o podaljšanju
Sistem Yosemite in novejše različice sistema macOS enkrat dnevno prikažejo obvestilo, ko je do izteka veljavnosti potrdila manj kot 14 dni.
Čas prikaza dnevnih obvestil lahko spremeniš z dvema parametroma konfiguracije, ki se imenujeta CertificateRenewalTimeInterval in CertificateRenewalTimePercent:
Parameter | Način uporabe | Dovoljene vrednosti | Vrsta vrednosti |
CertificateRenewalTimeInterval | Konfiguracijski profil aplikacije Profile Manager (Upravitelj profilov): ADCert ali SCEP | Več kot 14 dni ali manj od najdaljšega obdobja veljavnosti potrdila v dneh | Število dni (celo število) |
CertificateRenewalTimePercent | /usr/sbin/defaults | Med 1 in 50 | Odstotek (celo število) |
Parameter CertificateRenewalTimePercent lahko uporabiš s takšno sintakso:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
Ti dve nastavitvi lahko uporabiš skupaj:
Če je parameter CertificateRenewalTimeInterval določen v profilu, potem uporabi to vrednost.
Če parameter CertificateRenewalTimeInterval ni določen v profilu, a je definiran v odjemalcu, potem uporabi vrednost parametra CertificateRenewalTimePercent.
Če ni določena nobena od teh dveh vrednosti, je časovni interval nastavljen na 14 dni.
Več informacij
Profil, ki si ga uporabil za ustvarjanje potrdila ADCert ali SCEP, je bil morda odstranjen. Če uporabljaš sistem Mavericks ali novejšo različico sistema macOS, se najnovejše potrdilo in zasebni ključ odstranita iz verige ključev, prvotno potrdilo pa ne. Izbrisati ga moraš sam.
V profilu, ki si ga uporabil za pridobitev potrdila, so morda s potrdilom povezane druge koristne vsebine. Koristne vsebine lahko na primer vključujejo omrežje: EAP-TLS, VPN: preverjanje pristnosti na podlagi potrdila OnDemand. Ko je potrdilo podaljšano, se posodobijo odvisne konfiguracije za novo potrdilo.
Po podaljšanju potrdila se nameščeni profil poveže z novim potrdilom. Ob podaljšanju potrdila se ne namesti ali ustvari noben dodaten profil.
Informacije o izdelkih, ki jih ni izdelala družba Apple, ali neodvisna spletna mesta, ki jih družba Apple ne nadzoruje ali preizkuša, so na voljo brez priporočil ali podpore. Družba Apple ne prevzema nobene odgovornosti glede izbora, delovanja ali uporabe spletnih mest ali izdelkov tretjih oseb. Družba Apple ne jamči za natančnost ali zanesljivost spletnih mest tretjih oseb. Obrni se na dobavitelja, če želiš dodatne infromacije.
