Maalesef, Anahtarlık Erişimi (Sertifika Asistanı), CRL Dağıtım Noktası içinde sertifikanın uzantıları bölümü ürettiği sertifikalarda. Geçerli CA’nızın bir CRL’si olmadığını unutmayın dağıtım noktası Belirtilen (oluşturma sırasında bu sertifikanın izin verilen kullanımı olarak CRL imzalamayı etkinleştirmiş olsanız bile)
Sadece işe yarıyor!
İlginçtir ki, bir Open Directory yöneticisi olarak kurulum yapıldığında, OS X Server, bir Ara CA ile birlikte otomatik olarak kendinden imzalı bir sertifika yetkilisi oluşturur - ikisi de bir CRL dağıtım noktasına sahip (şuna benzer bir biçimde: http://server.example.com:1640/rfc2585/Example.crl .) Bu sertifikalar Sertifika Makamı tarafından değil, xscertd-helpertarafından çatallanmış slapconfig Açık Dizin kurulumu ve yapılandırması sırasında. Makineniz zaten Açık Dizin kullanıyorsa, slapconfig (ağırlıklı olarak xscertd-helper ) için:
- Kendinden imzalı bir sertifika yetkilisi oluşturun
- Bir ara yetki sertifikası imzalayın (her ikisi de "server.example.com" OD sunucusunda CRL dağıtım noktaları içeren)
- Hem sertifikaları Sistem anahtar zincirinde hem de LDAP "Sertifika Yetkilileri" konteynerinde saklayın
- Adresinde CRL oluştur ve güncelle
/var/db/crls otomatik olarak
- Cevap ver SCEP 1640 numaralı bağlantı noktasındaki istekler (
xscertd )
İtibaren slapconfig man page, Open Directory tarafından kullanılan CA kurulumunu yeniden oluşturmak için kullanabileceğiniz komut ( not: bu OD kurulum işleminin bir parçasıdır ve çoğu durumda gereksizdir ):
-createrootcertauthority <Certificate Authority Name> <Certificate Authority Admin Email> <Certificate Authority Organization Name>
Create a CA on the OD master.
Ne yazık ki, slapconfig bu kurulumun başlamasına izin vermeden önce makinenin bir OD master olduğunu onaylamak için kontrol edecektir. Bununla birlikte, plist dosyalarında sahte bayraklar ayarlayarak birkaç adımı başlatabilirsiniz. /Library/Preferences/com.apple.openldap.plist ), yazılım sonunda yapar LDAP yerel düğüme sorgular ve yanıt veren düğümü bulamaz (veya bağlantıyı bulamazsa). certificationAuthority nesne sınıfı).
Adlı bir yardımcı program var xscertadmin CRL dağıtım listesine öğeler eklemek için (insanlar tarafından!) kullanılabilir. Ancak, bu yazılım (yine) bilgisayarınızda bir OD master olmasına bağlı xscertd ). Gördüğüm kadarıyla Apple, Sistem Anahtar Zincirinde (OD CA ve IA sertifikaları için kimlik tercihleri, her bir özel anahtarı güvence altına almak için kullanılan parola ve ayrıca sertifikaların kendileri) birkaç veri parçası saklıyor veritabanı (CRL, CA certs). Bu yardımcı programın gerçekten yalnızca yerel LDAP düğümüne ve Sistem Anahtarlığına / sertifikadan sertifika ve CRL verilerini okumak ve yazmak anlamına geldiği anlaşılıyor.
OD kurulumunun dezavantajı, Orta CA (CA) tarafından oluşturulan sertifikaların hiçbirinde (yani, OD sunucusunun makine sertifikası; Profile Manager ile kullanım için bir kod imzalama sertifikası) içinde CRL dağıtım noktaları sağlamıyor gibi görünmesidir. ), çok fazla işe yaramaz gibi görünmüyor.
El ile krank
Tabii ki, bu kullanarak dışlamak değil openssl Sertifikalarınızı yönetmek için komut satırında. Sertifika yönetimi de kullanarak biraz otomatik olabilir openssl yapılandırma dosyaları . Ancak, vermiş olduğunuz ve iptal edilmiş olan sertifikaları takip etmeniz istenecektir.
Geçerli CA'nızın sertifikalarını ve anahtarlarını Anahtarlık Erişimi'nden dışa aktarabilirsiniz ve (CRL imzalama özelliği kullanılarak oluşturulduysa) sertifika imzalamanızın yönetimi için kullanabilir. Ne yazık ki, bu size kullanıcı dostu Sertifika Yardımcısı arayüzünü kullanma imkanı vermeyecektir.
Apple'ın kullandığı kurulumu taklit etmek de muhtemel olsa da, OpenSSL ile sertifikaları imzalarken, anahtarların içine CA anahtarlarının depolanması gibi), anahtarların çıkarılması için yapılması gereken geçici çözümler openssl işareti olabilir biraz iş olabilir ve geri dönüşünü en aza indirebilir.