验证您的 macOS Server 证书

如果您遇到 xscertd 方面的问题,或将证书分配给服务时遇到问题,您可能需要验证钥匙串访问控制。

如果您在日志文件中看到包含“getCACerts”的信息,或者如果您在将证书分配给 OS X Server 中的服务时遇到问题,则可能是“访问控制”在阻止服务器访问身份的私钥组件。

验证访问控制

  1. 打开服务器上的“钥匙串访问”。
  2. 从左侧边栏中选择“系统钥匙串”。
  3. 使用左侧边栏选择“所有项目”类别。如果您看不到“所有项目”,请点按
  4. 验证这些 OPENDIRECTORY 身份偏好设置对象:

验证 OPENDIRECTORY_ROOT_CA_IDENTITY

  1. 连按两次 OPENDIRECTORY_ROOT_CA_IDENTITY 身份偏好设置。
  2. 在“首选证书”菜单中,它应设为“Your-org-name Open Directory Certificate Authority”。确保其有自定义信任设置
  3. 记下此证书的名称以及显示的到期日期。关闭身份偏好设置窗口。
  4. 点按“证书类别”。
  5. 查找具有相同名称和到期日期的证书。点按此证书的开合三角。私钥会显示在证书下方。
  6. 连按两次私钥。
  7. 点按“访问控制”标签。系统可能会提示您进行管理员鉴定。
  8. 您应该会看到,这些应用程序有权访问此密钥:
    slapconfig
    xscertd helper
    xscertadmin
    servermgrd 
  9. 如果列表中缺失任一项目,请手动添加。点按 + 按钮以添加新项目,然后按下 Command-Shift-G。
  10. 在“前往文件夹”窗口中,输入缺失项目的特定路径:
    • 对于 slapconfig 项目,请输入路径 /usr/sbin/slapconfig
    • 对于 xscertd-helper 项目,请输入路径 /usr/libexec/xscertd-helper
    • 对于 xcertadmin 项目,请输入路径 /usr/sbin/xscertadmin
    • 对于 servermgrd 项目,请输入路径 /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. 输入缺失项目的路径后,请点按“前往”以高亮显示。然后,点按“添加”以添加该项目。
  12. 当所有项目都出现在列表中时,请点按“存储更改”。如果系统提示您输入管理员密码,请输入所需信息,然后点按“修改钥匙串”。

 

验证 OPENDIRECTORY_INT_CA_IDENTITY

  1. 连按两次 OPENDIRECTORY_INT_CA_IDENTITY 身份偏好设置。
  2. 应将“首选证书”菜单设为“IntermediateCA_DNS_NAME_OF_SERVER_1”。请确保标记为有效 ,并通过此根 CA 发布。
  3. 记下此证书的名称以及显示的到期日期。关闭身份偏好设置窗口。
  4. 点按“证书类别”。
  5. 查找具有相同名称和到期日期的证书。点按此证书的开合三角。私钥会显示在证书下方。
  6. 连按两次私钥。
  7. 点按“访问控制”标签页。系统可能会提示您进行管理员鉴定。
  8. 您应该会看到,这些应用程序有权访问此密钥:
    slapconfig
    xscertd helper
    xscertadmin
    servermgrd 
  9. 如果列表中缺失任一项目,请手动添加。点按 + 按钮以添加新项目,然后按下 Command-Shift-G。
  10. 在“前往文件夹”窗口中,输入缺失项目的特定路径:
    • 对于 slapconfig 项目,请输入路径 /usr/sbin/slapconfig
    • 对于 xscertd-helper 项目,请输入路径 /usr/libexec/xscertd-helper
    • 对于 xcertadmin 项目,请输入路径 /usr/sbin/xscertadmin
    • 对于 servermgrd 项目,请输入路径 /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. 输入缺失项目的路径后,请点按“前往”以高亮显示。然后,点按“添加”以添加该项目。
  12. 所有项目出现在列表中时,请点按“存储更改”。如果系统提示您输入管理员密码,请输入所需信息,然后点按“修改钥匙串”。

验证 OPENDIRECTORY_SSL_IDENTITY

  1. 连按两次 OPENDIRECTORY_SSL_IDENTITY 身份偏好设置。
  2. 在“首选证书”菜单中,应将其设置为“dns-name-of-server”。请确保标记为有效 ,并由 OPENDIRECTORY_SSL_IDENTITY 发布。
  3. 记下此证书的名称以及显示的到期日期。关闭身份偏好设置窗口。
  4. 点按“证书类别”。
  5. 查找具有相同名称和到期日期的证书。点按此证书的开合三角。私钥会显示在证书下方。

  6. 连按两次私钥。
  7. 点按“访问控制”标签。您可能会看到安全提示。
  8. 请确保您已选择“允许所有应用程序访问此项目”。点按“存储更改”。如果系统提示您输入管理员密码,请输入所需信息,然后点按“修改钥匙串”。

检查身份偏好设置后

当您检查完所有三个身份偏好设置后,请重新启动服务器,查看问题是否仍然存在。

发布日期: