驗證 macOS Server 憑證

如果有 xscertd 方面的問題,或指定憑證給服務時遇到問題,可能需要驗證「鑰匙圈」的連線權限控制。

如果在記錄檔中看到含有「getCACerts」的訊息,或在指定憑證給 OS X Server 中的服務時遇到問題,可能是因為「連線權限控制」不允許伺服器存取識別身分的專用密鑰組件。

驗證連線權限控制

  1. 開啟伺服器的「鑰匙圈存取」。
  2. 從左方的側邊欄中選擇「系統鑰匙圈」。
  3. 使用左方的側邊欄選擇「所有項目」類別。若沒有看到「所有項目」,請按一下
  4. 驗證以下這些 OPENDIRECTORY 身分偏好設定物件:

驗證 OPENDIRECTORY_ROOT_CA_IDENTITY

  1. 連按兩下 OPENDIRECTORY_ROOT_CA_IDENTITY 身分偏好設定。
  2. 在「偏好的憑證」選單中,它應該要設定為「Your-org-name Open Directory Certificate Authority」。請確認它標記有自定信任設定
  3. 記下此憑證的名稱以及所顯示的到期日。關閉身分偏好設定視窗。
  4. 按一下「憑證」類別。
  5. 找出名稱與到期日均相同的憑證,按一下該憑證的收合三角形,專用密鑰便會出現在憑證下方。
  6. 連按兩下專用密鑰。
  7. 按一下「連線權限控制」標籤頁。系統可能會提示您進行管理者認證。
  8. 允許可存取此密鑰的應用程式應如下所示:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. 如有任何項目並未列於列表中,請自行加入。按一下 + 按鈕加入新的項目,然後按下 Command-Shift-G。
  10. 在「前往檔案夾」視窗中,請輸入缺少之項目的確切路徑:
    • 如為 slapconfig 項目,請輸入路徑 /usr/sbin/slapconfig
    • 如為 xscertd-helper 項目,請輸入路徑 /usr/libexec/xscertd-helper
    • 如為 xcertadmin 項目,請輸入路徑 /usr/sbin/xscertadmin
    • 如為 servermgrd 項目,請輸入路徑 /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. 輸入缺少之項目的路徑後,請按一下「前往」將其反白,然後按一下「加入」加入該項目。
  12. 所有項目都顯示在列表中之後,請按一下「儲存所作更動」。如果系統提示您輸入管理者密碼,請輸入並按一下「修改鑰匙圈」。

 

驗證 OPENDIRECTORY_INT_CA_IDENTITY

  1. 連按兩下 OPENDIRECTORY_INT_CA_IDENTITY 身分偏好設定。
  2. 在「偏好的憑證」選單中,它應該要設定為「IntermediateCA_DNS_NAME_OF_SERVER_1」。確認它已標示為有效 ,並是由這個根 CA 所簽發。
  3. 記下此憑證的名稱以及所顯示的到期日。關閉身分偏好設定視窗。
  4. 按一下「憑證」類別。
  5. 找出名稱與到期日均相同的憑證,按一下該憑證的收合三角形,專用密鑰便會出現在憑證下方。
  6. 連按兩下專用密鑰。
  7. 按一下「連線權限控制」標籤頁。系統可能會提示您進行管理者認證。
  8. 允許可存取此密鑰的應用程式應如下所示:
    slapconfig
    xscertd-helper
    xscertadmin
    servermgrd 
  9. 如有任何項目並未列於列表中,請自行加入。按一下 + 按鈕加入新的項目,然後按下 Command-Shift-G。
  10. 在「前往檔案夾」視窗中,請輸入缺少之項目的確切路徑:
    • 如為 slapconfig 項目,請輸入路徑 /usr/sbin/slapconfig
    • 如為 xscertd-helper 項目,請輸入路徑 /usr/libexec/xscertd-helper
    • 如為 xcertadmin 項目,請輸入路徑 /usr/sbin/xscertadmin
    • 如為 servermgrd 項目,請輸入路徑 /Applications/Server.app/Contents/ServerRoot/System/Library/CoreServices/ServerManagerDaemon.bundle/Contents/MacOS/servermgrd
  11. 輸入缺少之項目的路徑後,請按一下「前往」將其反白,然後按一下「加入」加入該項目。
  12. 所有項目都顯示在列表中之後,請按一下「儲存所作更動」。如果系統提示您輸入管理者密碼,請輸入並按一下「修改鑰匙圈」。

驗證 OPENDIRECTORY_SSL_IDENTITY

  1. 連按兩下 OPENDIRECTORY_SSL_IDENTITY 身分偏好設定。
  2. 在「偏好的憑證」選單中,它應該要設定為「dns-name-of-server」。確認它已標示為有效 ,並是由 OPENDIRECTORY_SSL_IDENTITY 所簽發。
  3. 記下此憑證的名稱以及所顯示的到期日。關閉身分偏好設定視窗。
  4. 按一下「憑證」類別。
  5. 找出名稱與到期日均相同的憑證,按一下該憑證的收合三角形,專用密鑰便會出現在憑證下方。

  6. 連按兩下專用密鑰。
  7. 按一下「連線權限控制」標籤頁。系統可能會顯示安全提示。
  8. 確認您已選取「允許所有的應用程式存取這個項目」。按一下「儲存所作更動」。如果系統要求您輸入管理者密碼,請輸入並按一下「修改鑰匙圈」。

檢查完身分偏好設定後

檢查過所有這三個身分偏好設定後,請將伺服器重新開機,再確認問題是否仍舊存在。

發佈日期: