OS X Mavericks:基于描述文件的证书续订

OS X Mavericks 引入了通过配置描述文件获取的证书续订的支持。

OS X 通过配置描述文件支持两种证书注册方法:简单证书注册协议 (SCEP) 和 DCOM/RPC (ADCertificate)。ADCertificate 以 Microsoft Windows Server 证书颁发机构 (CA) 为基础。SCEP 经常使用 Microsoft CA 的网络设备注册服务 (NDES)。

借助 OS X Mavericks,通过描述文件获取的证书可以通过同一个已安装的描述文件来续订。在证书距离到期日期还有十五天时,“系统偏好设置”的“描述文件”面板中的证书描述文件会显示一个“更新”按钮:

 

 
该续订时(到期前 15 天内),Mavericks 中的“通知中心”将显示一个横幅。
 
证书到期或采取相关措施前,每天都会重复显示一遍此通知。
 
ADCertificate 续订
点按“系统偏好设置”的“描述文件”面板中的“更新”按钮。随即将创建一个新的专用密钥,并将其用于对发送到 CA 的证书请求进行签名。在从 CA 获取新证书之后,它会与新的专用密钥配对。
 
在安装描述文件时创建的原始证书和专用密钥将保留在钥匙串中。
 
SCEP 续订
点按“系统偏好设置”的“描述文件”面板中的“更新”按钮。现有的专用密钥将用于对发送到 CA 的证书请求进行签名。在从 CA 获取续订的证书之后,它会与原始的专用密钥配对。
 
在安装描述文件时创建的原始证书将保留在钥匙串中。

如果用于获取 ADCert 或 SCEP 证书的描述文件已从 Mavericks 中删除,最新获取的证书和专用密钥也将从存放该证书和密钥的钥匙串中移除。现在从其专用密钥中孤立出的原始证书不会被移除,可以手动将其删除。

如果用于获取证书的描述文件也包含与已获证书(网络:EAP-TLS,VPN:基于 OnDemand 证书的鉴定等)链接的其他有效负载,则在续订证书时,将针对新证书更新相关配置。

在续订证书后,已安装的描述文件会将与新证书关联。此后,不会再安装或创建任何其他描述文件。

发布日期: