Estoy intentando pasar de los certificados de Comodo a los de Let's Encrypt en OS X Server (10.7).
Algo en el server.app y ServerAdmin.app de Apple está roto. Puedo ver y seleccionar los certificados recién importados en server.app, pero después de unos segundos y de volver a abrir el diálogo, los certificados seleccionados vuelven a tener el valor original. En "Server Admin" > Mail > Advanced tab puedo seleccionar los nuevos certificados y se mantienen. Sin embargo, los servicios imap y smtp siguen utilizando el certificado antiguo.
Veo que para el certificado antiguo hay 4 archivos en /etc/certificates/ : host.domain.tld.SHA1.{key,cert,chain,concat}.pem
Sé que el único certificado antiguo está en /etc/certificates/ porque el SHA1 del nuevo certificado, buscado con:
$ openssl x509 -in host.domain.tld.cer -noout -fingerprint -sha1 | cut -f2 -d'=' | sed 's/://g' está mostrando un SHA1 diferente.
Importación de seguridad
Según Código fuente de certbot4osx Parece que el security import host.domain.tld.cer -k /Library/Keychains/System.keychain El comando debe
- importar el certificado al llavero del sistema, y
- crear el
/etc/certificates/$1.$SHA_NEW.cert.pem
Reiniciar
Después de un reinicio sólo 3 archivos: .cert , .chain y .concat , hay en /etc/certificates/ no .key . Otras veces los 4 archivos necesarios están en /etc/certificates/ después del reinicio.
CertsKeychainMonitor
Sospecho que el plugin CertsKeychainMonitor está involucrado en .pem creación de archivos. Esto como demonio iniciado a través de com.apple.UserEventAgent-System.plist . Porque las listas de Console en el segundo de los .pem archivo :
UserEventAgent: CertsKeychainMonitor: listo para procesar eventos de llavero & eventos del temporizador.
Cómo obtener siempre los 4 archivos de certificados (Let's Encrypt) correctamente en /etc/certificates/ y sin reiniciar ?
