Använda profilbaserad certifikatförnyelse i macOS

macOS Catalina och tidigare innehåller stöd för att förnya certifikat som inhämtats från en konfigurationsprofil.

Du kan använda macOS till att förnya din certifikatregistrering med din konfigurationsprofil med två metoder:

• Simple Certificate Enrollment Protocol (SCEP), som ofta använder en Microsoft Certificate Authority (CA) Network Device Enrollment Service (NDES).

• DCOM/RPC (ADCertificate), som förlitar sig på Microsoft Windows Server Certificate Authority (CA).

Om certifikat

I macOS kan du skaffa och förnya ditt certifikat med samma profil. macOS meddelar när certifikatet håller på att gå ut:

• När ett certifikat har 15 dagar kvar innan det går ut får du en påminnelse.

• När ett certifikat har mindre än 15 dagar kvar innan det går ut visas en banderoll i Notiscenter. Notiserna upprepas en gång per dag tills certifikatet går ut eller du uppdaterar eller tar bort det.

Du kan uppdatera ett certifikat i panelen Profiler i Systeminställningar genom att klicka på certifikatprofilen och sedan klicka på Uppdatera.

Förnya med ADCertificate

I panelen Profiler i Systeminställningar klickar du på knappen Uppdatera för att skapa en ny privat nyckel. Den nya privata nyckeln används för att signera den certifikatbegäran som skickas till CA. Det nya certifikatet från CA parkopplas med den nya privata nyckeln.

Originalcertifikatet och den privata nyckel som skapades när profilen installerades finns kvar i nyckelringen.

Läs om att automatiskt förnya certifikat som levererats med en konfigurationsprofil.

Förnya med SCEP

Klicka på knappen Uppdatera i Profiler i Systeminställningar. Den aktuella privata nyckeln används för att signera den certifikatbegäran som skickas till CA. När CA förnyar certifikatet parkopplas det med den ursprungliga privata nyckeln.

Originalcertifikatet som skapades när profilen installerades finns kvar i nyckelringen.

Förnya från kommandoraden

I macOS 10.12 Sierra och senare kan du förnya ADCertificate- och SCEP-profilgenererade certifikat med kommandot /usr/bin/profiles . Använd följande syntax i kommandoraden:

profiles -W -p

Du hittar värdet ”profileIdentifier” genom att visa de installerade profilerna med kommandoargumentet -L.

Ställa in förnyelsenotiser

Yosemite och senare versioner av macOS visar en daglig notis när det är mindre än 14 dagar kvar tills certifikatet går ut.

Du kan ändra den dagliga notistiden med två konfigurationsparametrar som heter CertificateRenewalTimeInterval och CertificateRenewalTimePercent:

Du kan använda CertificateRenewalTimePercent med en syntax som den här:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Du kan använda dessa två inställningar tillsammans:

• Om CertificateRenewalTimeInterval har definierats i profilen använder du det värdet.

• Om CertificateRenewalTimeInterval inte har definierats i profilen men på klienten, kan du använda värdet CertificateRenewalTimePercent.

Om inget av värdena har definierats ställs tidsintervallet in på 14 dagar.

Läs mer

Profilen som du använde för att skapa ADCert- eller SCEP-certifikatet kan tas bort. Om du använder Mavericks eller en senare version av macOS tas det senaste certifikatet och de senaste nycklarna bort från nyckelringen men inte det ursprungliga certifikatet. Du måste radera det.

Profilen som du använde för att skaffa certifikatet kan ha andra nyttolaster kopplade till certifikatet. Exempel på nyttolaster omfattar Nätverk: EAP-TLS och VPN: OnDemand-certifikatbaserad autentisering. När certifikatet förnyas uppdateras de beroende konfigurationerna med det nya certifikatet.

När ett certifikat förnyas associeras den installerade profilen med det nya certifikatet. När ett certifikat förnyas installeras eller skapas inga ytterligare profiler.