การใช้การต่ออายุใบรับรองที่ใช้โปรไฟล์ใน OS X

OS X เวอร์ชั่นปัจจุบันรวมถึงบริการช่วยเหลือด้านการต่ออายุใบรับรองที่ได้มาจากโปรไฟล์การกำหนดค่า

OS X ให้ความช่วยเหลือในการลงทะเบียนใบรับรองทั้งหมดสองวิธีโดยใช้โปรไฟล์การกำหนดค่า: โปรโตคอลการลงทะเบียนใบรับรองอย่างง่าย (SCEP) และ DCOM/RPC (ADCertificate) ADCertificate ต้องใช้ผู้ให้บริการออกใบรับรอง (CA) ของ Microsoft Windows Server SCEP มักจะใช้บริการลงทะเบียนอุปกรณ์เครือข่ายของ CA ของ Microsoft (NDES

เกี่ยวกับใบรับรอง

ใน OS X ใบรับรองที่ได้รับผ่านโปรไฟล์จะสามารถต่ออายุได้โดยใช้โปรไฟล์เดียวกันที่ติดตั้งไว้ เมื่อใบรับรองมีอายุสิบห้าวันนับจากวันหมดอายุ โปรไฟล์ใบรับรองในบานหน้าต่าง โปรไฟล์ ของ การตั้งค่าระบบ จะแสดงปุ่ม อัพเดท ดังนี้

ศูนย์การแจ้งเตือนยังแสดงแบนเนอร์เมื่อถึงเวลาต่ออายุ (ภายใน 15 วัน นับจากวันหมดอายุ) อีกด้วย

การแจ้งเตือนนี้จะเกิดซ้ำวันละครั้งจนกว่าใบรับรองจะหมดอายุหรือจะมีการดำเนินการ

การต่ออายุ ADCertificate

คลิกที่ปุ่ม อัพเดท ในบานหน้าต่าง โปรไฟล์ ของ การตั้งค่าระบบ คีย์ใหม่ส่วนตัวจะถูกสร้างขึ้นและใช้ในการเซ็นคำขอใบรับรองที่ส่งให้กับผู้ให้บริการออกใบรับรอง (CA) เมื่อได้รับใบรับรองใหม่จาก CA แล้ว ใบรับรองนั้นจะจับคู่กับคีย์ส่วนตัวใหม่

ใบรับรองเดิมและคีย์ส่วนตัวที่ถูกสร้างขึ้นเมื่อติดตั้งโปรไฟล์จะยังคงอยู่ในพวงกุญแจ

การต่ออายุ SCEP

คลิกที่ปุ่ม อัพเดท ในบานหน้าต่าง โปรไฟล์ ของ การตั้งค่าระบบ คีย์ส่วนตัวที่มีอยู่จะใช้ในการเข้าสู่ระบบคำขอใบรับรองที่ส่งให้กับผู้ให้บริการออกใบรับรอง (CA) เมื่อได้รับใบรับรองที่ต่ออายุจาก CA แล้ว ใบรับรองนั้นจะจับคู่กับคีย์ส่วนตัวเดิม

ใบรับรองเดิมที่สร้างขึ้นเมื่อติดตั้งโปรไฟล์จะยังคงอยู่ในพวงกุญแจ

การกำหนดค่าการแจ้งเตือนการต่ออายุ

โดยค่าเริ่มต้นแล้ว OS X Yosemite จะแสดงการแจ้งเตือนรายวันเมื่อได้รับใบรับรองภายใน 14 วันหลังจากหมดอายุ OS X Yosemite มีพารามิเตอร์การกำหนดค่าสองตัวซึ่งสามารถปรับเปลี่ยนลักษณะการทำงานของ CertificateRenewalTimeInterval และ CertificateRenewalTimePercent รายละเอียดบางอย่างเกี่ยวกับแต่ละรายการมีดังต่อไปนี้

ชื่อพารามิเตอร์ วิธีการนำไปใช้ ค่าที่ได้รับอนุญาต ประเภทของค่า
CertificateRenewalTimeInterval โปรไฟล์การกำหนดค่าตัวจัดการโปรไฟล์ - ADCert หรือ SCEP มากกว่า 14 วัน
น้อยกว่าอายุการใช้งานสูงสุดของใบรับรอง (วัน)
วัน (จำนวนเต็ม)
CertificateRenewalTimePercent /usr/sbin/defaults ระหว่าง 1 ถึง 50 เปอร์เซ็นต์ (จำนวนเต็ม)

CertificateRenewalTimePercent ใช้กับไวยากรณ์ดังต่อไปนี้

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

สามารถนำการตั้งค่าสองรายการมาใช้ร่วมกันได้ ดังนี้

  1. หากกำหนด CertificateRenewalTimeInterval ไว้ในโปรไฟล์ ระบบจะนำค่านั้นมาใช้
  2. หาก *ไม่ได้* กำหนด CertificateRenewalTimeInterval ไว้ในโปรไฟล์ แต่กำหนด CertificateRenewalTimePercent ไว้ที่ไคลเอ็นต์ ระบบจะนำค่าของ CertificateRenewalTimePercent มาใช้
  3. หากทั้งสองรายการไม่มีการกำหนดไว้อย่างชัดเจน ก็จะยอมรับให้ใช้ค่า 14 วันสำหรับ CertificateRenewalTimeInterval

ดูเพิ่มเติม

หากโปรไฟล์ที่ใช้ในการขอรับใบรับรอง ADCert หรือ SCEP ถูกลบออกจาก Mavericks ใบรับรองและคีย์ส่วนตัวที่ได้รับมาล่าสุดจะถูกลบออกจากพวงกุญแจในตำแหน่งที่มีอยู่ ใบรับรองเดิมที่ขาดคีย์ส่วนตัวไปแล้วตอนนี้ จะไม่ถูกลบออก และสามารถลบด้วยตนเองได้

หากโปรไฟล์ที่ใช้ในการรับใบรับรองยังมีส่วนข้อมูลอื่นๆ ที่เชื่อมโยงกับใบรับรองที่ได้รับมา (เครือข่าย: EAP-TLS, VPN: การรับรองความถูกต้องที่ใช้ใบรับรองแบบ OnDemand และอื่นๆ) เมื่อมีการต่ออายุใบรับรอง ใบรับรองใหม่จะมีการอัพเดทการกำหนดค่าที่สัมพันธ์กันด้วย

หลังจากดำเนินการต่ออายุใบรับรองแล้ว โปรไฟล์ที่ติดตั้งจะเชื่อมโยงกับใบรับรองใบใหม่  จะไม่มีการติดตั้งหรือสร้างโปรไฟล์เพิ่มเติมอันเป็นผลมาจากการต่ออายุใบรับรอง

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: