¿Cuál es la forma adecuada para “cert_identifier” cuando se usa “certupdate”?

0

Las opciones requeridas para certupdate parecen haber cambiado en macOS Sierra Server o antes, y las páginas de manual aún no se han actualizado.

Al intentar:

certupdate remove -c /etc/certificates/secure.domain.com.1234567890123456789012345678901234567890.cert.pem


certupdate lanza este error:

certupdate[92173:961471] Unable to recreate the missing certificate ID for /etc/certificates/secure.domain.com.1234567890123456789012345678901234567890.cert.pem error = 2


Si solo usas certupdate solo obtienes:

certupdate remove [-c cert_path] [-p cert_persistent_ref_base64] -i cert_identifier
certupdate replace -c old_cert_path [-p old_cert_persistent_ref_base64] -C new_cert_path [-P new_cert_persistent_ref_base64] -i old_cert_identifier -I new_cert_identifier


que dice que ahora se requieren -i y -I , aunque no se mencionan en las páginas de manual o en ningún otro sitio en línea que pueda encontrar.

Desafortunadamente, no he podido construir un cert_identifier adecuado para usar con ninguna de las versiones de certupdate y he intentado usar secure.domain.com.[SHA-1] con y sin varias extensiones, varias rutas que incluyen /etc/certificates , pero no han sido posibles. También le pedí a security que encontrara el certificado, con la esperanza de que mostrara algún tipo de pista, pero no lo hizo.

Lo único que he encontrado es que preguntar a serveradmin sobre sitios web revela una clave llamada web:defaultSecureSite:mstCertificateIdentifier que contiene un hash SHA-256 y el dominio, pero ninguna combinación que hice de eso funciona.

¿Alguien tiene alguna idea de cómo usar certupdate ahora que se requieren estas opciones?

    
pregunta BillEccles 08.07.2017 - 21:54

1 respuesta

0

La herramienta certupdate realmente no fue diseñada para ser utilizada manualmente, se supone que debe llamarse mediante un proceso que vigila el llavero del sistema.

El identificador de certificado se compone de tres partes separadas por el carácter ':' que son: hashtype: hash: "subject"

sha256: 0fa41022930ef3d200102d4f0a90e53b250674b9: "mi servidor.com"

La parte de hash es el hash de tipo hash del certificado formateado con DER.

puede obtener el identificador de los certificados de interés ejecutando el comando de administración del servidor: sudo serveradmin settings certs

y busque la clave de identificación asociada con cada certificado devuelto.

    
respondido por el Leland Wallace 04.09.2017 - 10:27

Lea otras preguntas en las etiquetas