Ist es möglich, das Open Directory der macOS Server-App zum Speichern und Abrufen von S/MIME (X.509)-Zertifikaten mit den Benutzerdaten zu verwenden?
Hintergrund:
Ich möchte unsere öffentlichen S/MIME-Zertifikate über unser LDAP freigeben, damit sie automatisch von jedem (unterstützenden) Client abgerufen werden können, ohne sie manuell importieren zu müssen.
Ich habe Artikel gefunden, die behaupten, dass es mit OpenLDAP im Allgemeinen möglich ist, aber wie kann es mit Open Directory gemacht werden? Soweit ich weiß, gibt es dafür die Attribute userCertificate und userSMIMECertificate. Sind sie in Open Directory verfügbar, und wenn nicht, können sie hinzugefügt werden? Und können sie nach dem Hinzufügen über die Server-App oder nur über die Befehlszeile aktualisiert werden?
Der Server ist auf Sierra, falls das wichtig ist.
Ich würde mich über jede Antwort, jeden Kommentar oder Link zu einem Howto freuen, das helfen könnte.
Gefunden, und es ist ziemlich einfach (wie man es von macOS erwarten würde). Ich erkläre Schritt für Schritt.
So speichern Sie S/MIME-Zertifikate in Open Directory
Ich glaube, die S/MIME-Zertifikatsdaten sollten im PEM-Format vorliegen, bin mir aber nicht sicher.
So rufen Sie S/MIME-Zertifikate aus Open Directory ab
Damit Clients S/MIME-Zertifikate von Open Directory (oder eigentlich jedem LDAP) abrufen können, gehen Sie wie folgt auf einem Mac-Client vor:
Verwenden Sie die App „Verzeichnisdienste“, wie oben erklärt, um den LDAP-Server zur Suchliste auf dem Client-Mac hinzuzufügen (wird auch hier erklärt ). Stellen Sie sicher, dass der LDAP-Server in der Suchrichtlinienliste unter Kontakte hinzugefügt wurde . Der Kontakte-Server in der Server-App muss nicht aktiviert werden.
Nachdem Sie den LDAP-Server erfolgreich hinzugefügt haben, öffnen Sie Ihre Kontakte-App auf dem Client. In der linken Seitenleiste sollte sich ein neuer Eintrag Verzeichnisdienste befinden . Klicken Sie darauf und geben Sie dann im Suchfeld den Namen eines Benutzers in Ihrem LDAP-Verzeichnis ein. Der Verzeichniseintrag sollte dann angezeigt werden und links neben der E-Mail-Adresse sollten Sie ein kleines Zertifikatssymbol sehen, ähnlich dem Symbol in der Mail-App, das für signierte E-Mails angezeigt wird. Wenn Sie darauf klicken, wird das für diesen Benutzer abgerufene S/MIME-Zertifikat angezeigt.