ใช้การต่ออายุใบรับรองที่ใช้โปรไฟล์ใน macOS
macOS Catalina และเวอร์ชั่นก่อนหน้ารองรับการต่ออายุใบรับรองที่ได้รับจากโปรไฟล์การกำหนดค่า
คุณสามารถใช้ macOS เพื่อต่ออายุการลงทะเบียนใบรับรองด้วยโปรไฟล์การกำหนดค่าของคุณโดยใช้สองวิธีดังต่อไปนี้
โปรโตคอลการลงทะเบียนใบรับรองอย่างง่าย (SCEP) ซึ่งมักจะใช้บริการลงทะเบียนอุปกรณ์เครือข่าย (NDES) ของผู้ให้บริการออกใบรับรอง (CA) ของ Microsoft
DCOM/RPC (ADCertificate) ซึ่งใช้ผู้ให้บริการออกใบรับรอง (CA) ของ Microsoft Windows Server
เกี่ยวกับใบรับรอง
ใน macOS คุณสามารถรับและต่ออายุใบรับรองด้วยโปรไฟล์เดียวกันได้ เมื่อใบรับรองใกล้ถึงวันหมดอายุ macOS จะแจ้งเตือนคุณในช่วงเวลาต่อไปนี้
คุณจะได้รับการเตือนเมื่อเหลือเวลา 15 วันก่อนใบรับรองจะหมดอายุ
ป้ายประกาศจะปรากฏในศูนย์การแจ้งเตือนเมื่อเหลือเวลาน้อยกว่า 15 วันก่อนใบรับรองจะหมดอายุ ระบบจะแจ้งเตือนวันละหนึ่งครั้งจนกระทั่งใบรับรองหมดอายุ หรือคุณอัปเดตหรือลบใบรับรองนั้นออก
หากต้องการอัปเดตใบรับรอง ให้เข้าไปที่บานหน้าต่างโปรไฟล์ของการตั้งค่าระบบ จากนั้นคลิกโปรไฟล์ใบรับรอง แล้วคลิกอัปเดต
ต่ออายุด้วย ADCertificate
คลิกปุ่มอัปเดตในบานหน้าต่างโปรไฟล์ของการตั้งค่าระบบเพื่อสร้างกุญแจส่วนตัวใหม่ กุญแจส่วนตัวใหม่จะใช้ในการลงชื่อกำกับคำขอใบรับรองที่ถูกส่งไปยัง CA ใบรับรองใหม่จาก CA จะจับคู่กับกุญแจส่วนตัวใหม่
ใบรับรองเดิมและกุญแจส่วนตัวที่ระบบสร้างขึ้นเมื่อติดตั้งโปรไฟล์จะยังคงอยู่ในพวงกุญแจ
ดูวิธีต่ออายุใบรับรองที่ส่งผ่านโปรไฟล์การกำหนดค่าโดยอัตโนมัติ
ต่ออายุด้วย SCEP
คลิกที่ปุ่มอัปเดตในบานหน้าต่างโปรไฟล์ของการตั้งค่าระบบ กุญแจส่วนตัวปัจจุบันจะใช้ในการเข้าลงชื่อกำกับคำขอใบรับรองที่ถูกส่งไปยัง CA เมื่อ CA ต่ออายุใบรับรอง CA จะจับคู่ใบรับรองนั้นกับกุญแจส่วนตัวเดิม
ใบรับรองเดิมที่ระบบสร้างขึ้นเมื่อติดตั้งโปรไฟล์จะยังคงอยู่ในพวงกุญแจ
ต่ออายุผ่านบรรทัดคำสั่ง
ใน macOS 10.12 Sierra และใหม่กว่า คุณสามารถต่ออายุใบรับรองที่สร้างจากโปรไฟล์ ADCertificate และ SCEP ด้วยคำสั่ง /usr/bin/profiles ได้ ใช้ไวยากรณ์ดังต่อไปนี้ในบรรทัดคำสั่ง
profiles -W -p
คุณสามารถหาค่า "profileIdentifier" ได้โดยการสร้างรายการโปรไฟล์ที่ติดตั้งด้วยอาร์กิวเมนต์คำสั่ง -L
ตั้งค่าการแจ้งเตือนการต่ออายุ
Yosemite และ macOS เวอร์ชั่นใหม่กว่าจะแสดงการแจ้งเตือนรายวันเมื่อเหลือเวลาน้อยกว่า 14 วันก่อนใบรับรองจะหมดอายุ
คุณสามารถเปลี่ยนเวลาการแจ้งเตือนรายวันด้วยสองพารามิเตอร์การกำหนดค่าที่เรียกว่า CertificateRenewalTimeInterval และ CertificateRenewalTimePercent โดยมีรายละเอียดดังนี้
พารามิเตอร์ | วิธีการนำไปใช้ | ค่าที่ได้รับอนุญาต | ประเภทของค่า |
CertificateRenewalTimeInterval | โปรไฟล์การกำหนดค่าตัวจัดการโปรไฟล์: ADCert หรือ SCEP | มากกว่า 14 วันหรือน้อยกว่าอายุการใช้งานสูงสุดของใบรับรองโดยมีหน่วยเป็นวัน | วัน (จำนวนเต็ม) |
CertificateRenewalTimePercent | /usr/sbin/defaults | ระหว่าง 1 ถึง 50 | เปอร์เซ็นต์ (จำนวนเต็ม) |
คุณสามารถปรับใช้ CertificateRenewalTimePercent กับไวยากรณ์ในรูปแบบนี้
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
คุณสามารถใช้การตั้งค่าสองรูปแบบเหล่านี้ร่วมกัน
หากมีการกำหนด CertificateRenewalTimeInterval ในโปรไฟล์ ให้ใช้ค่าดังกล่าว
หากไม่มีการกำหนด CertificateRenewalTimeInterval ในโปรไฟล์ แต่มีการกำหนดในไคลเอ็นต์ ให้ใช้ค่าของ CertificateRenewalTimePercent
หากไม่มีการกำหนดค่าทั้งสองประเภทดังกล่าว ให้ตั้งช่วงเวลาไว้ที่ 14 วัน
ดูเพิ่มเติม
โปรไฟล์ที่คุณใช้ในการสร้างใบรับรอง ADCert หรือ SCEP อาจถูกลบออก หากคุณใช้ Mavericks หรือ macOS เวอร์ชั่นใหม่กว่า ใบรับรองและกุญแจส่วนตัวล่าสุดจะถูกลบออกจากพวงกุญแจ ยกเว้นใบรับรองเดิมซึ่งคุณจะต้องลบด้วยตนเอง
โปรไฟล์ที่คุณใช้ในการรับใบรับรองอาจมีเพย์โหลดอื่นเชื่อมไปยังใบรับรองดังกล่าว ตัวอย่างของเพย์โหลด ได้แก่ เครือข่าย: EAP-TLS, VPN: การรับรองความถูกต้องที่ใช้ใบรับรองแบบ OnDemand เมื่อต่ออายุใบรับรองแล้ว การกำหนดค่าที่ขึ้นอยู่กับส่วนนี้จะได้รับการอัปเดตสำหรับใบรับรองใหม่
หลังจากที่ต่ออายุใบรับรองแล้ว โปรไฟล์ที่ติดตั้งจะเชื่อมโยงกับใบรับรองใหม่ เมื่อต่ออายุใบรับรองแล้ว จะไม่มีการติดตั้งหรือสร้างโปรไฟล์เพิ่มเติม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม
