certificato servermgrd nella catena di fiducia del server Yosemite

0

Sto configurando un file server in Yosemite e sto cercando di rimuovere le vulnerabilità, quindi il reparto IT della mia organizzazione approverà. Ho acquisito un certificato SSL affidabile e l'ho installato con tutti i prodotti intermedi per completare la catena di fiducia.

La scansione delle vulnerabilità del reparto IT ha mostrato che la porta 311 utilizzava un certificato autofirmato. Ho quindi usato il portachiavi per cambiare l'identità di servermgrd per utilizzare il certificato corretto come spiegato in Come faccio a ottenere com.apple.servermgrd per usare un non certificato SSL autofirmato? .

Ora la scansione delle vulnerabilità non mostra più il certificato autofirmato utilizzato per la porta 311 - buono - ma segnala ancora il certificato come non attendibile. La catena di fiducia è intatta per il dominio del server, ma non per il servermgrd. Inoltre, il certificato servermgrd nel portachiavi mostra ancora la chiave privata sbagliata, anche se l'identità servermgrd sta utilizzando il certificato corretto.

Qualcuno sa come affrontare questo? Questo potrebbe richiedere diversi cerotti intermedi rispetto al server stesso? Il certificato Servermgrd che utilizza la chiave privata errata deve essere sostituito?

    
posta b.reid 15.09.2015 - 18:04
fonte

1 risposta

1

servermgrd cerca il certificato che usa per la porta 311 tramite una preferenza identitaria denominata "com.apple.servermgrd". Per impostazione predefinita, la preferenza punta al certificato di identità "com.apple.servermgrd" autofirmato. Dopo aver cambiato la preferenza, puoi rimuovere il vecchio certificato autofirmato senza causare alcun danno. Tuttavia, è necessario assicurarsi che l'elenco di controllo di accesso (ACL) sulla chiave privata del certificato che si desidera utilizzare da servermgrd consenta l'accesso a servermgrd.

Se servermgrd non può accedere alla chiave privata, elimina la preferenza e crea una nuova identità autofirmata e imposta una nuova preferenza in modo che punti al certificato di identità appena creato.

    
risposta data 17.01.2016 - 10:30
fonte

Leggi altre domande sui tag