在 macOS 中使用描述檔更新憑證

現有的 macOS 版本支援對來自設定描述檔的憑證進行更新。

您可以透過兩種方式,使用 macOS 搭配您的設定描述檔來更新憑證:

  • 簡單憑證註冊通訊協定(SCEP),此協定通常使用 Microsoft 憑證授權單位(CA)網路裝置註冊服務(NDES)。
  • DCOM/RPC(ADCertificate),此憑證需要 Microsoft Windows Server 憑證授權單位(CA)。 

關於憑證

在 macOS 中,您可以使用同一個描述檔來取得與更新憑證。當憑證距離到期日只有 15 天時,您會收到提醒。在憑證描述檔之「系統偏好設定」的「描述檔」面板中,按一下「更新」。當憑證距離到期日不到 15 天時,「通知中心」會顯示一則橫幅。這項通知會每天重複一次,直到憑證到期或您採取行動為止

使用 ADCertificate 更新

在「系統偏好設定」的「描述檔」面板裡,按一下「更新」按鈕建立新的專用密鑰。新的專用密鑰可用來簽署傳送至 CA 的憑證要求。來自 CA 的新憑證,會與新的專用密鑰配對。

安裝描述檔時建立的原始憑證與專用密鑰仍然在鑰匙圈中。

使用 SCEP 更新

按一下「系統偏好設定」中「描述檔」面板內的「更新」按鈕。現有的專用密鑰可用來簽署傳送至 CA 的憑證要求。當 CA 更新憑證後,該憑證會立即與原始專用密鑰進行配對。

安裝描述檔時建立的原始憑證仍然在鑰匙圈中。

透過命令列更新

在 macOS 10.12 Sierra 中,您可以使用 /usr/bin/profiles 命令,更新使用 ADCertificate 及 SCEP 描述檔產生的憑證。在命令列中使用下列語法:

profiles -W -p <profileIdentifier value>

您可以使用 L 命令引數來列出安裝的描述檔,藉此找到「profileIdentifier」值。

設定更新通知

Yosemite 與後續推出的 macOS 顯示器版本會在憑證距離到期日不到 14 天時,每天發出一則通知。

您可以使用名為 CertificateRenewalTimeInterval 與 CertificateRenewalTimePercent 的兩個設定參數變更每日通知時間:

參數 應用程式方法 允許值 值類型
CertificateRenewalTimeInterval 「描述檔管理程式」設定描述檔:ADCert 或 SCEP 大於 14 天,或是小於憑證的期限上限 天(整數)
CertificateRenewalTimePercent /usr/sbin/defaults 1 和 50 之間 百分比(整數)

您可以利用類似以下的語法套用 CertificateRenewalTimePercent:

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

您可以合併使用下列兩個設定:

  • 當描述檔中定義了 CertificateRenewalTimeInterval,請使用該值。
  • 當描述檔中未定義 CertificateRenewalTimeInterval,而是在用戶端中定義時,請使用 CertificateRenewalTimePercent 的值。

如果這兩個值都尚未定義,則時間間隔會設為 14 天。

更多內容

您用來建立 ADCert 或 SCEP 憑證的描述檔可能會遭到移除。當您使用 Mavericks 或 macOS 更新版本,最近的憑證與專用密鑰會從鑰匙圈中移除,但是原始憑證則不會。您必須手動刪除。

您用來取得憑證的描述檔,可能具有與憑證連結的其他承載資料。此類承載資料範例包括,網路:EAP-TLS、VPN:OnDemand 憑證式認證。憑證一經更新,新憑證相依的設定就會跟著更新。

憑證更新後,所安裝的描述檔會連結新憑證。憑證一經更新,就不會再安裝或建立其他描述檔。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: