OS X'de Profil tabanlı sertifika yenileme

OS X'in geçerli sürümlerinde bir yapılandırma profilinden alınan sertifikaları yenileme desteği bulunmaktadır.

OS X, yapılandırma profili kullanarak iki sertifika kayıt yöntemini destekler: Basit sertifika kayıt protokolü (SCEP) ve DCOM/RPC (ADCertificate). ADCertificate, Microsoft Windows Server Sertifika Sağlayıcısına (CA) bağlıdır. SCEP genellikle Microsoft CA'nın Ay Aygıtı Kayıt Servisini kullanır (NDES). 

Sertifikalar hakkında

OS X'de, bir profil aracılığıyla alınan sertifikalar aynı yüklü profil kullanılarak yenilenebilir. Sertifika son kullanma tarihine on beş gün kala Sistem Tercihleri alanındaki Profiller bölmesinde bulunan sertifika profilinde bir Güncelle düğmesi görüntülenir:

Bildirim Merkezinde de yenileme zamanının geldiğini (son kullanma tarihine 15 gün kala) belirten bir başlık görüntülenir.

Bu bildirim sertifikanın son kullanma tarihine veya bir işlem yapılana kadar günde bir kez tekrarlanır.

ADCertificate yenileme

Sistem Tercihleri alanındaki Profiller bölmesinde bulunan Güncelle düğmesini tıklayın. Yeni bir özel anahtar oluşturulur ve Sertifika Sağlayıcısına (CA) gönderilen sertifika isteğini imzalamak için kullanılır. CA'dan alınan yeni sertifika yeni özel anahtarla eşlenir.

Orijinal sertifika ve profil yüklendiğinde oluşturulan özel anahtar, anahtar zincirinde kalır.

SCEP yenileme

Sistem Tercihleri alanındaki Profiller bölmesinde bulunan Güncelle düğmesini tıklayın. Varolan özel anahtar Sertifika Sağlayıcısı'na (CA) gönderilen sertifika isteğini imzalamak için kullanılır. Yenilenmiş sertifika CA'dan alındığında orijinal özel anahtarla eşlenir.

Profil yüklendiğinde oluşturulan orijinal sertifika, anahtar zincirinde kalır.

Yenileme Bildirimlerini Yapılandırma

Alınan sertifikanın son kullanma tarihinin dolmasına 14 gün kala OS X Yosemite varsayılan olarak her gün bir bildirim görüntüler. OS X Yosemite, CertificateRenewalTimeInterval ve CertificateRenewalTimePercent olmak üzere bu davranışı değiştirebilecek iki yapılandırma parametresi sunar. Bu parametreler hakkındaki ayrıntılar aşağıda verilmektedir:

Parametre Adı Uygulama Yöntemi İzin Verilen Değerler Değer Türü
CertificateRenewalTimeInterval Profile Manager yapılandırma profili - ADCert veya SCEP 14 günden uzun
Sertifikanın maksimum kullanım ömründen daha kısa (gün olarak)
Gün (tam sayı)
CertificateRenewalTimePercent /usr/sbin/defaults 1 - 50 arası Yüzde (tam sayı)

CertificateRenewalTimePercent, aşağıdaki gibi bir söz dizimiyle uygulanır:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

İki ayar birlikte kullanılabilir:

  1. Profilde CertificateRenewalTimeInterval tanımlanmışsa değeri kullanılır.
  2. Profilde CertificateRenewalTimeInterval *tanımlanmamışsa* ancak istemcide CertificateRenewalTimePercent tanımlanmışsa CertificateRenewalTimePercent parametresinin değeri kullanılır.
  3. İki parametre de açıkça tanımlanmamışsa CertificateRenewalTimeInterval için 14 günlük bir değer varsayılır.

Daha Fazla Bilgi

ADCert veya SCEP sertifikası almak için kullanılan profil Mavericks'ten kaldırılmışsa en son alınan sertifika ve özel anahtar bulundukları anahtar zincirinden çıkartılır. Artık özel anahtarından bağımsız kalan orijinal sertifika kaldırılmaz ve manuel olarak silinebilir.

Sertifika almak için kullanılan profilde alınan sertifikaya bağlı başka yükler de içeriyorsa (Ağ: EAP-TLS, VPN: İstek Üzerine sertifika tabanlı kimlik doğrulama vb.) sertifika yenilendiğinde bağımlı yapılandırmalar yeni sertifikaya göre güncellenir.

Sertifika yenilendiğinde yüklü profil, yeni sertifikayla ilişkilendirilir.  Sertifika yenilemenin sonucunda başka profiller yüklenmez veya oluşturulmaz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: