在 macOS 中使用描述檔更新憑證
macOS Catalina 和之前版本支援對來自設定描述檔的憑證進行更新。
你可以透過兩種方式,使用 macOS 搭配你的設定描述檔來更新憑證:
簡單憑證註冊通訊協定(SCEP),此協定通常使用 Microsoft 憑證授權單位(CA)網路裝置註冊服務(NDES)。
DCOM/RPC(ADCertificate),此憑證需要 Microsoft Windows Server 憑證授權單位(CA)。
關於憑證
在 macOS 中,你可以使用同一個描述檔來取得與更新憑證。macOS 會在憑證即將到期時發出提示:
當憑證距離到期日只有 15 天時,你會收到提醒。
當憑證距離到期日不到 15 天時,「通知中心」會顯示橫幅。這項通知會每天重複一次,直到憑證到期或你將憑證更新或移除為止。
若要更新憑證,請在「系統偏好設定」的「描述檔」面板中,按一下憑證的描述檔,然後按一下「更新」。
使用 ADCertificate 更新
在「系統偏好設定」的「描述檔」面板裡,按一下「更新」按鈕建立新的專用密鑰。新的專用密鑰可用來簽署傳送至 CA 的憑證要求。來自 CA 的新憑證,會與新的專用密鑰配對。
安裝描述檔時建立的原始憑證與專用密鑰仍然在鑰匙圈中。
瞭解如何自動更新透過設定描述檔傳送的憑證。
使用 SCEP 更新
按一下「系統偏好設定」中「描述檔」面板內的「更新」按鈕。現有的專用密鑰可用來簽署傳送至 CA 的憑證要求。當 CA 更新憑證後,該憑證會立即與原始專用密鑰進行配對。
安裝描述檔時建立的原始憑證仍然在鑰匙圈中。
透過命令列更新
在 macOS 10.12 Sierra 和以上版本中,你可以使用「/usr/bin/profiles」指令,更新透過 ADCertificate 和 SCEP 描述檔產生的憑證。在命令列中使用下列語法:
profiles -W -p
你可以使用 L 命令引數來列出安裝的描述檔,藉此找到「profileIdentifier」值。
設定更新通知
Yosemite 和後續的 macOS 版本會在憑證距離到期日不到 14 天時,每天發出一則通知。
你可以使用名為 CertificateRenewalTimeInterval 與 CertificateRenewalTimePercent 的兩個設定參數變更每日通知時間:
參數 | 應用程式方法 | 允許值 | 值類型 |
CertificateRenewalTimeInterval | 「描述檔管理程式」設定描述檔:ADCert 或 SCEP | 大於 14 天,或是小於憑證的期限上限 | 天(整數) |
CertificateRenewalTimePercent | /usr/sbin/defaults | 1 和 50 之間 | 百分比(整數) |
你可以利用類似以下的語法套用 CertificateRenewalTimePercent:
sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25
你可以合併使用下列兩個設定:
當描述檔中定義了 CertificateRenewalTimeInterval,請使用該值。
當描述檔中未定義 CertificateRenewalTimeInterval,而是在用戶端中定義時,請使用 CertificateRenewalTimePercent 的值。
如果這兩個值都尚未定義,則時間間隔會設為 14 天。
更多內容
你用來建立 ADCert 或 SCEP 憑證的描述檔可能會遭到移除。當你使用 Mavericks 或 macOS 更新版本,最近的憑證與專用密鑰會從鑰匙圈中移除,但是原始憑證則不會。你必須手動刪除。
你用來取得憑證的描述檔,可能具有與憑證連結的其他承載資料。此類承載資料範例包括,網路:EAP-TLS、VPN:OnDemand 憑證式認證。憑證一經更新,新憑證相依的設定就會跟著更新。
憑證更新後,所安裝的描述檔會連結新憑證。憑證一經更新,就不會再安裝或建立其他描述檔。
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。
