OS X Server：取用權限控制可能會導致憑證識別身分無法與伺服器服務搭配運作

安裝憑證識別身分到系統鑰匙圈後，該憑證會出現在 Server app 或 Server Admin 中。不過，伺服器可能無法使用選取的憑證，而且使用所選取憑證的連線可能無法完成。

具體症狀

OS X Server

從 Server app 的「憑證」面板選取憑證後，下拉式選單可能會切換到先前所設的憑證或切換到「自定」。嘗試使用此憑證的連線可能無法運作。

Lion Server

在 Server app 的「設定」面板中設定憑證後，可能改為顯示「自定」設定。按一下「編輯」按鈕來顯示自定 SSL 憑證設定後，您可能會發現所有服務都設為使用新憑證，但網頁除外。如果您嘗試設定憑證與網頁搭配使用，它會暫時變更，然後會突然再設回「無」。嘗試使用此憑證的連線可能無法運作。

Mac OS X Server v10.6

從 Server Admin 的「憑證」面板中，您可以查看可用於伺服器的憑證列表，其中包括剛輸入的憑證。設定伺服器使用此憑證時，您可能會發現設定會保留，但嘗試使用此憑證的連線可能無法運作。

如何解決此問題

輸入系統鑰匙圈的憑證可能設有取用權限控制，以防止伺服器存取識別身分的專用密鑰組件。有了這個限制，就不需要將專用密鑰輸出至 /etc/certificates。

請使用「鑰匙圈存取」移除限制，並允許將專用密鑰輸出以搭配伺服器服務使用。

1. 從「/應用程式/工具程式」開啟「鑰匙圈存取」工具程式。

2. 從「鑰匙圈」面板選取「系統鑰匙圈」。

3. 從左下角的「類別」面板中，選擇「憑證」。

4. 按一下已輸入憑證旁的箭頭。

5. 按兩下專用密鑰。

6. 切換到「取用權限控制」標籤頁。

7. 選取「允許所有的應用程式存取這個項目」選項。

8. 按一下「儲存所作更動」，並在提示時以本機管理者的身分進行驗證。

9. 重新啟動電腦。

您可以檢視 /etc/certificates 目錄，查看已安裝憑證的列表，這些憑證已準備好用於伺服器服務。憑證的命名架構是使用憑證的通用名稱，後面加上來自憑證的 SHA1 雜湊值。每個有效的憑證識別身分應該有四個檔案：憑證信任鏈（chain.pem）、憑證（cert.pem）、密鑰（key.pem）和含有其專用密鑰的串連憑證（concat.pem）。如果這四個組件有任何遺漏，服務就無法與對應的憑證一起運作。