macOS'te Profil tabanlı sertifika yenilemeyi kullanma

macOS Catalina ve önceki sürümlerinde, konfigürasyon profilinden alınan sertifikaları yenileme desteği bulunur.

macOS'i kullanarak konfigürasyon profilinizle sertifika kaydınızı yenilemek için iki yöntem vardır:

• Genellikle bir Microsoft sertifika yetkilisi (CA) Ağ Cihazı Kayıt Hizmeti (NDES).

• Microsoft Windows Server Sertifika Yetkilisinden (CA) yararlanan DCOM/RPC (ADCertificate).

Sertifikalar hakkında

macOS'te sertifikanızı aynı profille alabilir ve yenileyebilirsiniz. macOS, sona erme tarihi yaklaşan sertifikalar konusunda sizi uyarır:

• Sertifikanın sona erme tarihine 15 gün kaldığında bir anımsatıcı alırsınız.

• Sertifikanın sona erme tarihine 15 günden az kaldığında Bildirim Merkezi'nde bir başlık görüntülenir. Bu bildirim, sertifikanın süresi dolana veya siz sertifikayı güncelleyene ya da kaldırana kadar günde bir kez tekrarlanır.

Sertifikayı güncellemek için Sistem Tercihleri'nin Profiller bölümünde sertifika profilini ve sonra Güncelle seçeneğini tıklayın.

ADCertificate ile yenileme

Sistem Tercihleri'nin Profiller bölümünde Güncelle düğmesini tıklayarak yeni bir özel anahtar oluşturun. Yeni özel anahtar CA'ya gönderilen sertifika isteğini imzalamak için kullanılır. CA'dan alınan yeni sertifika, yeni özel anahtarla eşlenir.

Profil yüklendiğinde oluşturulan orijinal sertifika ve özel anahtar, anahtar zincirinde kalır.

Konfigürasyon profili aracılığıyla iletilen sertifikaları otomatik olarak nasıl yenileyebileceğinizi.

SCEP ile yenileme

Sistem Tercihleri'nin Profiller bölümünde Güncelle düğmesini tıklayın. Mevcut özel anahtar CA'ya gönderilen sertifika isteğini imzalamak için kullanılır. CA, sertifikayı yenilerken orijinal özel anahtarla eşler.

Profil yüklendiğinde oluşturulan orijinal sertifika, anahtar zincirinde kalır.

Komut satırını kullanarak yenileme

macOS 10.12 Sierra ve sonraki sürümlerinde, ADCertificate'ı ve SCEP profili tarafından oluşturulan sertifikaları /usr/bin/profiles.

profiles -W -p

"profileIdentifier" değerini, -L komut bağımsız değişkenini kullanıp yüklü profilleri listeleyerek bulabilirsiniz.

Yenileme bildirimleri ayarlama

Yosemite ve sonraki macOS sürümleri, sertifikanın sona erme tarihine 14 günden az kaldığında günlük olarak bir bildirim görüntüler.

Günlük bildirim zamanını, CertificateRenewalTimeInterval ve CertificateRenewalTimePercent adlı iki konfigürasyon parametresini kullanarak değiştirebilirsiniz:

CertificateRenewalTimePercent parametresini aşağıdaki gibi bir sözdizimi kullanarak uygulayabilirsiniz:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Bu iki ayarı birlikte kullanabilirsiniz:

• CertificateRenewalTimeInterval profilde tanımlanmışsa bu değeri kullanın.

• CertificateRenewalTimeInterval profilde tanımlanmamış ancak istemcide tanımlanmışsa CertificateRenewalTimePercent parametresinin değerini kullanın.

İki değer de tanımlanmamışsa zaman aralığı 14 gün olarak ayarlanır.

Daha fazla bilgi

ADCert veya SCEP sertifikasını oluşturmak için kullandığınız profil kaldırılabilir. Mavericks veya sonraki bir macOS sürümünü kullanıyorsanız en son sertifika ve özel anahtar, anahtar zincirinden kaldırılır ancak orijinal sertifika kaldırılmaz. Bu sertifikayı sizin silmeniz gerekir.

Sertifikayı almak için kullandığınız profilde sertifikaya bağlı başka veriler olabilir. Bu verilere örnek olarak Ağ: EAP-TLS, VPN: OnDemand sertifika tabanlı kimlik doğrulama verilebilir. Sertifika yenilendiğinde, bağlı konfigürasyonlar yeni sertifika için güncellenir.

Sertifika yenilendikten sonra, yüklü profil yeni sertifikayla ilişkilendirilir. Sertifika yenilendiğinde ek bir profil yüklenmez veya oluşturulmaz.