Använda profilbaserad certifikatförnyelse i OS X

Aktuella versioner av OS X har stöd för förnyelse av certifikat inhämtade från en konfigurationsprofil.

OS X stöder två metoder för certifikatregistrering med en konfigurationsprofil: Scep (Simple Crtificate Enrollment Protocol) och DCOM/RPC (ADCertificate). ADCertificate förlitar sig på Microsoft Windows Server Certificate Authority (CA). SCEP använder sig ofta av en Microsoft CA Network Device Enrollment Service (NDES). 

Om certifikat

I OS X kan certifikat som erhållits genom en profil förnyas med samma installerade profil. När det är 15 dagar till certifikatets utgångsdatum visas en uppdateringsknapp i certifikatprofilen i panelen Profiler i Systeminställningar:

I Notiscenter visas också en banderoll när det är dags att förnya (inom 15 dagar från utgångsdatumet).

Detta meddelande upprepas varje dag tills certifikatet förfaller eller en åtgärd vidtas.

ADCertificate-förnyelse

Klicka på knappen Uppdatera i Profiler i Systeminställningar. En ny privat nyckel skapas som används för att signera certifikatbegäran som skickas till certifikatutgivaren (CA). När det nya certifikatet erhållits från CA, paras det ihop med den nya privata nyckeln.

Originalcertifiket och den privata nyckel som skapades när profilen installerades behålls i nyckelringen.

SCEP-förnyelse

Klicka på knappen Uppdatera i Profiler i Systeminställningar. Den befintliga privata nyckeln används för att signera certifikatbegäran som skickas till certifikatutgivaren (CA). När det förnyade certifikatet erhållits från CA, paras det ihop med den ursprungliga privata nyckeln.

Originalcertifikatet som skapades när profilen installerades behålls i nyckelringen.

Konfigurera förnyelsenotiser

Som standard visar OS X Yosemite en daglig notis när det är mindre än 14 dagar kvar innan det hämtade certifikatet förfaller. I OS X Yosemite finns det två konfigurationsparametrar som kan ändra detta beteende, CertificateRenewalTimeInterval och CertificateRenewalTimePercent. Här är lite mer information om dem:

Parameternamn Tillämpningsmetod Tillåtna värden Värdetyp
CertificateRenewalTimeInterval Profilhanterarens konfigurationsprofil – ADCert eller SCEP Mer än 14 dagar
Mindre än certifikatets maximala livslängd i dagar
Dagar (heltal)
CertificateRenewalTimePercent /usr/sbin/defaults Mellan 1 och 50 Procentvärde (heltal)

CertificateRenewalTimePercent tillämpas med en syntax som den följande:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

De två inställningarna kan användas tillsammans:

  1. Om CertificateRenewalTimeInterval har definierats i profilen används dess värde.
  2. Om CertificateRenewalTimeInterval *inte* har definierats i profilen och CertificateRenewalTimePercent definieras på klienten, används värdet för CertificateRenewalTimePercent.
  3. Om inget av dem definierats explicit, antas värdet 14 dagar för CertificateRenewalTimeInterval.

Läs mer

Om den profil som användes för att skaffa ADCert- eller SCEP-certifikatet tas bort från Mavericks, tas det senast hämtade certifikatet och den privata nyckeln bort från den nyckelring de ligger i. Det ursprungliga certifikatet, som nu inte tillhör den privata nyckeln, tas inte bort, men det kan tas bort manuellt.

Om den profil som användes för att skaffa certifikatet också innehåller andra laster länkade till det erhållna certifikatet (Nätverk: EAP-TLS, VPN: OnDemand-certifikatbaserad autentisering och så vidare), kommer de beroende konfigurationerna att uppdateras för det nya certifikatet när certifikatet förnyas.

När ett certifikat förnyas, associeras den installerade profilen med det nya certifikatet.  Inga ytterligare profiler installeras eller skapas som ett resultat av certifikatförnyelsen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: