OS X Server:取用權限控制可能會導致憑證識別身分無法與伺服器服務搭配運作

安裝憑證識別身分到系統鑰匙圈後,該憑證會出現在 Server app 或 Server Admin 中。不過,伺服器可能無法使用選取的憑證,而且使用所選取憑證的連線可能無法完成。

具體症狀

OS X Server

從 Server app 的「憑證」面板選取憑證後,下拉式選單可能會切換到先前所設的憑證或切換到「自定」。嘗試使用此憑證的連線可能無法運作。

Lion Server

在 Server app 的「設定」面板中設定憑證後,可能改為顯示「自定」設定。按一下「編輯」按鈕來顯示自定 SSL 憑證設定後,您可能會發現所有服務都設為使用新憑證,但網頁除外。如果您嘗試設定憑證與網頁搭配使用,它會暫時變更,然後會突然再設回「無」。嘗試使用此憑證的連線可能無法運作。

Mac OS X Server v10.6

從 Server Admin 的「憑證」面板中,您可以查看可用於伺服器的憑證列表,其中包括剛輸入的憑證。設定伺服器使用此憑證時,您可能會發現設定會保留,但嘗試使用此憑證的連線可能無法運作。

如何解決此問題

輸入系統鑰匙圈的憑證可能設有取用權限控制,以防止伺服器存取識別身分的專用密鑰組件。有了這個限制,就不需要將專用密鑰輸出至 /etc/certificates。

請使用「鑰匙圈存取」移除限制,並允許將專用密鑰輸出以搭配伺服器服務使用。

  1. 從「/應用程式/工具程式」開啟「鑰匙圈存取」工具程式。
  2. 從「鑰匙圈」面板選取「系統鑰匙圈」。
  3. 從左下角的「類別」面板中,選擇「憑證」。
  4. 按一下已輸入憑證旁的箭頭。
  5. 按兩下專用密鑰。
  6. 切換到「取用權限控制」標籤頁。
  7. 選取「允許所有的應用程式存取這個項目」選項。
  8. 按一下「儲存所作更動」,並在提示時以本機管理者的身分進行驗證。
  9. 重新啟動電腦。

您可以檢視 /etc/certificates 目錄,查看已安裝憑證的列表,這些憑證已準備好用於伺服器服務。憑證的命名架構是使用憑證的通用名稱,後面加上來自憑證的 SHA1 雜湊值。每個有效的憑證識別身分應該有四個檔案:憑證信任鏈(chain.pem)、憑證(cert.pem)、密鑰(key.pem)和含有其專用密鑰的串連憑證(concat.pem)。如果這四個組件有任何遺漏,服務就無法與對應的憑證一起運作。

發佈日期: