Qual è il modulo corretto per "cert_identifier" quando si utilizza "certupdate"?

0

Le opzioni richieste per certupdate sembrano essere cambiate in macOS Sierra Server o in precedenza e le manpage non sono ancora state raggiunte.

Durante il tentativo:

certupdate remove -c /etc/certificates/secure.domain.com.1234567890123456789012345678901234567890.cert.pem


certupdate genera questo errore:

certupdate[92173:961471] Unable to recreate the missing certificate ID for /etc/certificates/secure.domain.com.1234567890123456789012345678901234567890.cert.pem error = 2


Se usi solo certupdate di per sé ottieni:

certupdate remove [-c cert_path] [-p cert_persistent_ref_base64] -i cert_identifier
certupdate replace -c old_cert_path [-p old_cert_persistent_ref_base64] -C new_cert_path [-P new_cert_persistent_ref_base64] -i old_cert_identifier -I new_cert_identifier


che dice che ora sono richiesti -i e -I , anche se non menzionati nelle manpage o ovunque online che posso trovare.

Purtroppo, non sono stato in grado di costruire un cert_identifier corretto da utilizzare con entrambe le versioni di certupdate e ho provato a utilizzare secure.domain.com.[SHA-1] con e senza varie estensioni, vari percorsi incluso /etc/certificates , ma senza alcun risultato. Ho anche chiesto a security di trovare il certificato, sperando che mostrasse qualche indizio, ma non è così.

L'unica cosa che ho trovato è che chiedere serveradmin sui siti web rivela una chiave chiamata web:defaultSecureSite:mstCertificateIdentifier che contiene un hash SHA-256 e il dominio, ma nessuna combinazione che ho fatto di quello funziona, neanche.

Qualcuno ha idea di come usare certupdate ora che queste opzioni sono richieste?

    
posta BillEccles 08.07.2017 - 21:54
fonte

1 risposta

0

Lo strumento certupdate non è stato progettato per essere utilizzato manualmente, dovrebbe essere chiamato da un processo che controlla il portachiavi del sistema.

L'identificatore di cert è costituito da tre parti separate dal carattere ":" che sono: hashtype: hash: "subject"

sha256: 0fa41022930ef3d200102d4f0a90e53b250674b9: "my server.com"

La parte hash è l'hash hashtype del certificato formattato DER.

puoi ottenere l'identificatore per i certificati di interesse eseguendo il comando admin del server: sudo serveradmin settings certs

e cercando la chiave identificativa associata a ogni certificato restituito.

    
risposta data 04.09.2017 - 10:27
fonte

Leggi altre domande sui tag