servermgrd certificado en la cadena de confianza del servidor Yosemite

0

Estoy configurando un servidor de archivos en Yosemite y estoy tratando de eliminar las vulnerabilidades para que el departamento de TI de mi organización lo apruebe. Adquirí un certificado SSL de confianza y lo instalé con todos los intermedios para completar la cadena de confianza.

El análisis de vulnerabilidad del departamento de TI mostró que el puerto 311 estaba usando un certificado autofirmado. Luego usé keychain para cambiar la identidad de servermgrd para usar el certificado correcto como se explica en ¿Cómo puedo hacer que com.apple.servermgrd no use ¿Certificado SSL autofirmado? .

Ahora, la exploración de vulnerabilidades ya no muestra el certificado autofirmado que se está utilizando para el puerto 311 (bueno), pero sigue reportando que el certificado no es confiable. La cadena de confianza está intacta para el dominio del servidor, pero no para el servermgrd. Además, el certificado servermgrd en el llavero aún muestra la clave privada incorrecta, aunque la identidad servermgrd esté utilizando el certificado correcto.

¿Alguien sabe cómo abordar esto? ¿Podría esto requerir diferentes certificados intermedios que el propio servidor? ¿Debería reemplazarse el certificado de servermgrd que utiliza la clave privada incorrecta?

    
pregunta b.reid 15.09.2015 - 18:04

1 respuesta

1

servermgrd busca el certificado que usa para el puerto 311 a través de una preferencia de identidad llamada "com.apple.servermgrd". De forma predeterminada, la preferencia apunta al certificado de identidad "com.apple.servermgrd" autofirmado. Después de cambiar la preferencia, puede eliminar el antiguo certificado autofirmado sin causar ningún daño. Pero debe asegurarse de que la lista de control de acceso (ACL) en la clave privada del certificado que desea que use servermgrd permita el acceso a servermgrd.

Si servermgrd no puede acceder a la clave privada, eliminará la preferencia y creará una nueva identidad autofirmada y establecerá una nueva preferencia para que apunte al certificado de identidad recién creado.

    
respondido por el Leland Wallace 17.01.2016 - 10:30

Lea otras preguntas en las etiquetas