在 macOS 中使用基于描述文件的证书续订

当前版本的 macOS 能够对从配置描述文件中获取的证书进行续订。

通过以下两种方式,您可以使用 macOS 通过配置描述文件续订证书注册:

  • 简单证书注册协议 (SCEP),经常使用 Microsoft 证书颁发机构 (CA) 网络设备注册服务 (NDES)。
  • DCOM/RPC (ADCertificate),以 Microsoft Windows Server 证书颁发机构 (CA) 为基础。 

关于证书

在 macOS 中,您可以使用相同的描述文件获取并续订证书。在证书距离到期日期还有 15 天时,系统会向您发送提醒。在“系统偏好设置”的“描述文件”面板中的证书描述文件中,点按“更新”。如果距离证书到期日期不足 15 天,则您会在“通知中心”看到横幅。这条通知每天都会重复显示一遍,直至证书到期或您采取了相关措施

通过 ADCertificate 续订

在“系统偏好设置”的“描述文件”面板中,点按“更新”按钮以创建新的私钥。新的私钥用于对发送至 CA 的证书请求进行签名。来自 CA 的新证书会与新私钥配对。

在安装描述文件时创建的原始证书和私钥将保留在钥匙串中。

通过 SCEP 续订

点按“系统偏好设置”的“描述文件”面板中的“更新”按钮。当前私钥用于对发送至 CA 的证书请求进行签名。CA 续订证书后,它会与原始私钥配对。

在安装描述文件时创建的原始证书将保留在钥匙串中。

通过命令行续订

在 macOS 10.12 Sierra 中,您可以通过 /usr/bin/profiles 命令续订 ADCertificate 和 SCEP 描述文件生成的证书。在命令行中使用以下语法:

profiles -W -p <profileIdentifier value>

通过列出含 -L 命令自变量的已安装描述文件,您可以查找“profileIdentifier”值。

设置续订通知

Yosemite 和更高版本的 macOS 会在证书到期前的 14 天内每天显示一条通知。

您可使用两个名为 CertificateRenewalTimeInterval 和 CertificateRenewalTimePercent 的配置参数更改每天显示通知的时间:

参数  应用方法 允许的值 值类型
CertificateRenewalTimeInterval 描述文件管理器配置描述文件:ADCert 或 SCEP 大于 14 天,或小于证书的最长有效期 天数(整数)
CertificateRenewalTimePercent /usr/sbin/defaults 在 1 到 50 之间 百分数(整数)

您可通过类似下文的语法应用 CertificateRenewalTimePercent:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

您可以同时使用以下两种设置:

  • 如果在描述文件中定义了 CertificateRenewalTimeInterval,则使用该值。
  • 如果未在描述文件中定义 CertificateRenewalTimeInterval,但却在客户端上定义,则使用 CertificateRenewalTimePercent 的值。

如果两个值都未定义,时间间隔会设置为 14 天。

进一步了解

您用于创建 ADCert 或 SCEP 证书的描述文件可能会被移除。如果您使用 Mavericks 或更高版本的 macOS,则会从钥匙串中移除最新的证书和私钥,但不会移除原始证书。您必须将其删除。

您用于获取证书的描述文件可能包含与此证书关联的其他有效负载。有效负载的示例包括网络:EAP-TLS,VPN:基于 OnDemand 证书的鉴定。续订证书时,将会更新新证书的相关配置。

在续订证书后,已安装的描述文件会将与新证书关联。续订证书后,不会安装或创建其他描述文件。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: