Как заставить com.apple.servermgrd использовать несамозаверяющий SSL-сертификат?

Я получил действующий сертификат SSL для своего сервера Mountain Lion (10.8.2 Build 12C3104) и установил этот сертификат для использования всеми службами (и SSL и другие службы не выводят диалоговое окно «Проверка сертификата» — кажется, что только сервер по-прежнему использовать самозаверяющий сертификат.

Каждый раз, когда я подключаюсь удаленно с помощью Server App 2.2.1 (169) следующим образом:

Проверка сертификата --- *Сервер не может проверить подлинность сервера* Вы подключаетесь к серверу, сертификат идентификации которого недействителен. Это может быть сервер Mac с самоподписанным сертификатом. Это также может быть сервер, который притворяется... что может подвергнуть риску вашу конфиденциальную информацию. Вы все равно хотите подключиться к серверу?

Я пропустил шаг, на котором мне нужно установить другой сертификат для использования com.apple.servermgrd, или мне нужен второй шаг настройки после выбора текущего сертификата в приложении «Сервер» и перезагрузки сервера? Я бы предпочел использовать действительный сертификат для аутентификации, а не «всегда доверять» этому самозаверяющему сертификату при подключении для управления моим сервером.

Я знаю, что статья относится к 10.6, но пробовали ли вы это: support.apple.com/kb/HT3930 ? Сертификат хранится в системной цепочке ключей в разделе Приложения>Утилиты>Доступ к цепочке ключей, а также в Mountain Lion Server 10.8.
@jaume Ты попал. Не все последующие шаги по администрированию сервера актуальны для 10.8, но вы должны получить награду и кредит за фактический ответ.
Я рад прочитать, что это все еще применимо к 10.8, я добавил ответ. Я не использую Server.app, поэтому не стесняйтесь изменять последующие шаги, которые больше не применяются к ML Server.

Ответы (4)

Статья базы знаний Apple HT3930 объясняет, как настроить SSL для servermgrdвеб-интерфейса администратора сервера.

Это относится к Mac OS X Server 10.6, поэтому, пока Apple не обновит эту статью, часть шагов будет запутанной / устаревшей.

К счастью, в Mountain Lion Server (10.8) servermgrdсертификат хранится в том же месте, что и в Mac OS X Server Snow Leopard: в системной цепочке ключей Приложения> Утилиты> Доступ к цепочке ключей.

Вот что нужно на Mountain Lion (взято из статьи)

  1. Во время входа в OS X, где сервер настроен для запуска служб, откройте доступ к связке ключей.
  2. Выберите системную связку ключей.

  3. Дважды щелкните по com.apple.servermgrdнастройке идентичности (кредит: изображение взято отсюда ):

    введите описание изображения здесь

  4. Выберите действующий SSL-сертификат. Сначала вам нужно будет импортировать сертификат SSL, как описано в статье базы знаний PH7297 .

  5. Войдите в систему как администратор, если будет предложено.
  6. Как root, перезапустите servermgrd, чтобы изменения в Keychain Access вступили в силу с помощью этой команды терминала: sudo killall servermgrd(пройдите аутентификацию с помощью пароля администратора, если будет предложено).
Когда я дважды щелкаю com.apple.servermgrd, я не вижу нигде, чтобы выбрать какие-либо сертификаты. Это все еще действует в 10.8.2?
Да, вопрос bmike относится к 10.8.2. Обратите внимание, что вы должны дважды щелкнуть com.apple.servermgrdнастройку удостоверения, а не запись сертификата. Я добавил картинку к своему ответу, чтобы было понятно. Если вы все еще не видите никаких сертификатов, боюсь, я не смогу вам помочь, так как сам не использую Server.app.
Интересный. У меня нет identity preferenceтолько сертификата.
nvm, мне пришлось искать, а затем выбирать вручную all items; спасибо за картинку!!!
Этот ответ по-прежнему является справочным - большое спасибо, jaume, за совет и отличный снимок экрана.
Ага! Это sudo killall servermgrdбыла та часть, которую мне не хватало! Спасибо! Я могу подтвердить, что это все еще работает на сервере 10.9.5. AskDifferent снова наносит удар.
Обратите внимание, что это не работает на Yosemite (10.10 с сервером 4). См. эту тему на дискуссионном форуме Apple ( дискуссиях.apple.com /thread/ 6604031). В настоящее время я не знаю обходного пути.

Я подтвердил, что этот метод также работает для Mac под управлением OS X 10.9.0 Mavericks с серверным приложением версии 3.0.1 (после обновления резервного сертификата SSL, процесс обновления которого был самоподписанным, мне пришлось переключить его на действительный сертификат, подписанный доверенный ЦС).

С другого (административного Mac) в той же подсети, в которой работает OS X 10.9.1, я могу запустить серверное приложение 3.0.2, затем выбрать «Другой Mac», затем выбрать упомянутый выше Mac в качестве целевого Mac для входа и администрирования. . Это работает нормально (сертификат является доверенным, и панель предупреждений не генерирует предупреждение о недоверии к com.apple.servermgrd и т. д.).

Одна вещь, которую нужно проверить, если процедура jaume все еще не работает для вас. Посмотрите в списке управления доступом сертификат удостоверения, который вы хотите использовать servermgrd. Убедитесь, что бинарный файл servermgrd есть в списке.

В более поздних версиях процесс, прослушивающий порт 311, называется servermgr-listener, поэтому вам также может понадобиться добавить этот двоичный файл в ACL.

а также измените команду killall на:

sudo killall servermgr-listener

Итак, для всех людей, которые имеют дело с проблемой приложения macOS Server, не учитывающего изменения при добавлении стороннего SSL-сертификата, чтобы избежать утомительного всплывающего окна при каждом запуске приложения, я думаю, что нашел проблему при поиске ответ на несвязанную проблему (или так я думал). Если вы выполните действия, описанные на этой странице, проблема будет устранена. Несмотря на то, что servermgrd уже указан в списке разрешенных приложений.

https://support.apple.com/en-us/HT203731

Спасибо, Дэвид

Как заставить com.apple.servermgrd использовать несамозаверяющий SSL-сертификат?
СпросиСетьПолитика конфиденциальности1y, 0v