通过以下两种方式,你可以使用 macOS 通过配置描述文件续订证书注册:
- 简单证书注册协议 (SCEP),经常使用 Microsoft 证书颁发机构 (CA) 网络设备注册服务 (NDES)。
- DCOM/RPC (ADCertificate),以 Microsoft Windows Server 证书颁发机构 (CA) 为基础。
关于证书
在 macOS 中,你可以使用相同的描述文件获取并续订证书。当证书接近到期日期时,macOS 会向你发送提醒:
- 在证书距离到期日期还有 15 天时,系统会向你发送提醒。
- 在证书距离到期日期不足 15 天时,会在“通知中心”显示一个横幅。这条通知每天都会重复显示一遍,直至证书到期,或者你更新或移除证书。
要更新证书,请在“系统偏好设置”的“描述文件”面板中,点按证书配置文件,然后点按“更新”。
通过 ADCertificate 续订
在“系统偏好设置”的“描述文件”面板中,点按“更新”按钮以创建新的私钥。新的私钥用于对发送至 CA 的证书请求进行签名。来自 CA 的新证书会与新私钥配对。
在安装描述文件时创建的原始证书和私钥将保留在钥匙串中。
了解如何自动续订通过配置描述文件交付的证书。
通过 SCEP 续订
点按“系统偏好设置”的“描述文件”面板中的“更新”按钮。当前私钥用于对发送至 CA 的证书请求进行签名。CA 续订证书后,它会与原始私钥配对。
在安装描述文件时创建的原始证书将保留在钥匙串中。
通过命令行续订
在 macOS 10.12 Sierra 和更高版本中,你可以通过 /usr/bin/profiles 命令续订 ADCertificate 和 SCEP 描述文件生成的证书。在命令行中使用以下语法:
profiles -W -p <profileIdentifier value>
通过列出含 -L 命令自变量的已安装描述文件,你可以查找“profileIdentifier”值。
设置续订通知
Yosemite 及更高版本的 macOS 会在证书到期前的 14 天内每天显示一条通知。
你可使用两个名为 CertificateRenewalTimeInterval 和 CertificateRenewalTimePercent 的配置参数更改每天显示通知的时间:
| 参数 | 应用方法 | 允许的值 | 值类型 |
| CertificateRenewalTimeInterval | 描述文件管理器配置描述文件:ADCert 或 SCEP | 大于 14 天,或小于证书的最长有效期 | 天数(整数) |
| CertificateRenewalTimePercent | /usr/sbin/defaults | 在 1 到 50 之间 | 百分数(整数) |
你可通过类似下文的语法应用 CertificateRenewalTimePercent:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
你可以同时使用以下两种设置:
- 如果在描述文件中定义了 CertificateRenewalTimeInterval,则使用该值。
- 如果未在描述文件中定义 CertificateRenewalTimeInterval,但却在客户端上定义,则使用 CertificateRenewalTimePercent 的值。
如果两个值都未定义,时间间隔会设置为 14 天。
进一步了解
你用于创建 ADCert 或 SCEP 证书的描述文件可能会被移除。如果你使用 Mavericks 或更高版本的 macOS,则会从钥匙串中移除最新的证书和私钥,但不会移除原始证书。你必须将其删除。
你用于获取证书的描述文件可能包含与此证书关联的其他有效负载。有效负载的示例包括网络:EAP-TLS,VPN:基于 OnDemand 证书的认证。续订证书时,将会更新新证书的相关配置。
在续订证书后,已安装的描述文件会将与新证书关联。续订证书后,不会安装或创建其他描述文件。