Использование продления сертификатов из профиля в macOS — Служба поддержки Apple (RU)

Центр сертификации (ЦС) WoSign несколько раз допускал ошибки, связанные с управлением, при выдаче сертификатов через промежуточный ЦС WoSign CA Free SSL Certificate G2. Хотя корневой сертификат WoSign находится в списке доверенных сертификатов Apple, этот промежуточный центр сертификации использовался для связей сертификатов с перекрестной подписью с StartCom и Comodo, чтобы установить отношение доверия с продуктами Apple.

В свете этих обстоятельств мы принимаем меры по защите пользователей в рамках обновления безопасности. Продукты Apple больше не доверяют промежуточному центру сертификации WoSign CA Free SSL Certificate G2.

Чтобы предотвратить прекращение обслуживания держателей сертификатов WoSign и обеспечить для них переход на доверенные корневые сертификаты, продукты Apple доверяют индивидуальным существующим сертификатам, выданным этим промежуточным центром сертификации и опубликованным на общедоступных серверах журналов Certificate Transparency до 19 сентября 2021 года. Эти сертификаты будут считаться доверенными до тех пор, пока не истечет их срок действия, они не будут отозваны или не будут признаны недоверенными компанией Apple.

По мере изучения проблемы и обнаружении дополнительных уязвимостей, появляющихся из-за использования точек доверия WoSign/StartCom в продуктах Apple, мы будем принимать необходимые меры для защиты пользователей.

Дальнейшие действия для WoSign

В ходе дальнейшего исследования мы пришли к выводу, что помимо многочисленных ошибок управления в работе центра сертификации WoSign (CA), организация WoSign не сообщила о приобретении StartCom.

Мы продолжаем принимать меры для защиты пользователей в предстоящем обновлении безопасности. Продукты Apple будут блокировать сертификаты, выданные корневыми центрами сертификации WoSign и StartCom, если их дата Not Before (Не раньше) выпадает на 1 декабря 2021 г. 00:00:00 GMT/UTC или позже.

В области «Профили» меню «Системные настройки» нажмите кнопку «Обновить». Текущий закрытый ключ используется для подписи запроса в отношении сертификата, который отправляется в центр сертификации. Когда центр сертификации продлевает сертификат, он объединяет его в пару с исходным закрытым ключом.

Исходный сертификат, созданный при установке профиля, остается в связке ключей.

Профиль, использовавшийся для создания сертификата из протокола ADCert или SCEP, можно удалить. Если используется Mavericks или более поздняя версия macOS, наиболее недавний сертификат и закрытый ключ удаляются из связки ключей, а исходный сертификат необходимо удалять вручную.

Использовавшийся для получения сертификата профиль может иметь другие полезные нагрузки, привязанные к сертификату. Примеры нагрузок включают следующие способы идентификации на основе сертификатов: EAP-TLS (для обычной сети) и OnDemand (для сети VPN). Когда сертификат продлевается, для него обновляются зависимые конфигурации.

После продления сертификата установленный профиль связывается с новым сертификатом. А также не устанавливаются и не создаются никакие дополнительные профили.

В Yosemite и более поздних версиях macOS уведомление отображается раз в день, когда до истечения срока действия сертификата остается менее 14 дней.

Время ежедневного уведомления можно изменить с помощью двух параметров конфигурации: CertificateRenewalTimeInterval и CertificateRenewalTimePercent.

Параметр CertificateRenewalTimePercent можно применить с помощью следующего синтаксиса.

sudo defaults write /Library/Preferences/com.apple.mdmclient CertificateRenewalTimePercent -int 25

Эти два параметра можно использовать вместе.

• Если в профиле задан параметр CertificateRenewalTimeInterval, используйте это значение.
• Если параметр CertificateRenewalTimeInterval задан не в профиле, а в клиенте, используйте значение CertificateRenewalTimePercent.

Если не задано ни одно из значений, временной интервал составляет 14 дней.

В macOS 10.12 Sierra и более поздних версий действие сертификатов, созданных из профиля с помощью протоколов ADCertificate и SCEP можно продлить с помощью команды /usr/bin/profiles. Используйте следующий синтаксис в командной строке.

<значение profileIdentifier>для профилей -W и -p

Значение profileIdentifier можно найти, просмотрев список установленных профилей с помощью аргумента команды -L.

В macOS можно получить сертификат и продлить его с помощью одного и того же профиля. macOS предупреждает о приближающейся дате истечения срока действия.

• Когда до неё останется 15 дней, вы получите напоминание. 
• Когда до истечения срока действия сертификата останется менее 15 дней, в центре уведомлений отобразится баннер. Такое уведомление появляется раз в день, пока срок действия сертификата не истечет или вы не удалите его.

Чтобы обновить сертификат, перейдите в область «Профили» меню «Системные настройки» и нажмите кнопку «Обновить». 

В каждом хранилище доверия содержится три категории сертификатов.

Выполните следующие действия, чтобы найти версию хранилища доверия, установленного на вашем устройстве iOS или iPadOS.

1. Перейдите в меню «Настройки» > «Основные» > «Об устройстве».
2. Прокрутите список до конца.
3. Выберите пункт «Настройки доверия сертификатов».

Выполните эти действия, чтобы найти версию хранилища доверия, установленного на компьютере Mac.

1. В приложении Finder выберите пункт «Переход» > «Переход к папке».
2. Введите или вставьте «/Система/Библиотеки/Security/Certificates.bundle/Contents/Resources/TrustStore.html» и нажмите «Перейти».
3. В появившейся папке откройте TrustStore.html. Версия хранилища доверия находится в правом верхнем углу страницы.

В статье перечислены сертификаты для хранилища доверия версии 2020082800, которая является текущей для iOS 14.2 и более поздних версий, iPadOS 14.2 и более поздних версий, macOS 11 и более поздних версий, tvOS 14.2 и более поздних версий, а также для watchOS 7.1 и более поздних версий. Сведения о хранилищах доверия для других версий iOS, macOS, tvOS и watchOS см. в этой статье.

Хранилище доверия ОС iOS содержит доверенные корневые сертификаты, предварительно установленные с операционной системой iOS.