在 macOS 中使用基于描述文件的证书续订

macOS Catalina 及更早版本支持续订从配置描述文件中获取的证书。

通过以下两种方式，你可以使用 macOS 通过配置描述文件续订证书注册：

• 简单证书注册协议 (SCEP)，这种方式经常使用 Microsoft 证书颁发机构 (CA) 网络设备注册服务 (NDES)。

• DCOM/RPC (ADCertificate)，这种方式以 Microsoft Windows Server 证书颁发机构 (CA) 为基础。

关于证书

在 macOS 中，你可以使用相同的描述文件获取并续订证书。当证书接近到期日期时，macOS 会向你发送提醒：

• 在证书距离到期日期还有 15 天时，系统会向你发送提醒。

• 在证书距离到期日期不足 15 天时，“通知中心”会显示一个横幅。这条通知每天都会重复显示一遍，直至证书到期，或者你更新或移除证书。

要更新证书，请在“系统偏好设置”的“描述文件”面板中，点按相应证书描述文件，然后点按“更新”。

通过 ADCertificate 续订

在“系统偏好设置”的“描述文件”面板中，点按“更新”按钮以创建新的私钥。新的私钥用于对发送至 CA 的证书请求进行签名。来自 CA 的新证书会与新私钥配对。

在安装描述文件时创建的原始证书和私钥将保留在钥匙串中。

了解如何自动续订通过配置描述文件交付的证书。

通过 SCEP 续订

点按“系统偏好设置”的“描述文件”面板中的“更新”按钮。当前私钥用于对发送至 CA 的证书请求进行签名。CA 续订证书后，它会与原始私钥配对。

在安装描述文件时创建的原始证书将保留在钥匙串中。

通过命令行续订

在 macOS 10.12 Sierra 及更高版本中，你可以通过 /usr/bin/profiles 命令续订 ADCertificate 和 SCEP 描述文件生成的证书。在命令行中使用以下语法：

profiles -W -p

通过列出含 -L 命令自变量的已安装描述文件，你可以查找“profileIdentifier”值。

设置续订通知

Yosemite 及更高版本的 macOS 会在证书到期前的 14 天内每天显示一条通知。

你可使用 CertificateRenewalTimeInterval 和 CertificateRenewalTimePercent 这两个配置参数更改每天显示通知的时间：

你可通过类似下文的语法应用 CertificateRenewalTimePercent：

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

你可以同时使用以下两种设置：

• 如果在描述文件中定义了 CertificateRenewalTimeInterval，则使用该值。

• 如果未在描述文件中定义 CertificateRenewalTimeInterval，但却在客户端上定义，则使用 CertificateRenewalTimePercent 的值。

如果两个值都未定义，时间间隔会设置为 14 天。

进一步了解

你用于创建 ADCert 或 SCEP 证书的描述文件可能会被移除。如果你使用 Mavericks 或更高版本的 macOS，则会从钥匙串中移除最新的证书和私钥，但不会移除原始证书。你必须将其删除。

你用于获取证书的描述文件可能包含与此证书关联的其他有效负载。有效负载的示例包括网络：EAP-TLS，VPN：基于 OnDemand 证书的认证。续订证书时，将会更新新证书的相关配置。

在续订证书后，已安装的描述文件会将与新证书关联。续订证书后，不会安装或创建其他描述文件。