¿Es posible usar Open Directory de la aplicación macOS Server para almacenar y recuperar certificados S/MIME (X.509) con los datos del usuario?
Fondo:
Me gustaría compartir nuestros certificados S/MIME públicos a través de nuestro LDAP, para que puedan recuperarse automáticamente desde cualquier cliente (compatible) sin tener que importarlos manualmente.
He encontrado artículos que afirman que es posible en general con OpenLDAP, pero ¿cómo se puede hacer con Open Directory? Entiendo que existen los atributos userCertificate y userSMIMECertificate para esto. ¿Están disponibles en Open Directory y, de no ser así, se pueden agregar? Y una vez que se agregan, ¿se pueden actualizar a través de la aplicación del servidor o simplemente desde la línea de comandos?
El servidor está en Sierra en caso de que importe.
Agradecería cualquier respuesta o comentario o enlace a un howto que podría ayudar.
Lo encontré, y es bastante fácil (como cabría esperar de macOS). Voy a explicar paso a paso.
Cómo almacenar certificados S/MIME en Open Directory
Creo que los datos del certificado S/MIME deberían estar en formato PEM, pero no estoy seguro.
Cómo recuperar certificados S/MIME de Open Directory
Para permitir que los clientes recuperen certificados S/MIME de Open Directory (o cualquier LDAP en realidad), aquí se explica cómo hacerlo en un cliente Mac:
Use la aplicación Directory Utility, como se explicó anteriormente, para agregar el servidor LDAP a la lista de búsqueda en la Mac del cliente (también se explica aquí ). Asegúrese de que el servidor LDAP esté agregado en la lista Política de búsqueda en Contactos . No es necesario habilitar el servidor de Contactos en la aplicación Servidor.
Una vez que haya agregado con éxito el servidor LDAP, abra su aplicación Contactos en el cliente. Debería haber una nueva entrada Servicios de directorio en la barra lateral izquierda. Haga clic en él, luego, en el campo de búsqueda, ingrese el nombre de un usuario en su directorio LDAP. Luego se debe mostrar la entrada del directorio y, a la izquierda de la dirección de correo electrónico, debe ver un pequeño símbolo de certificado similar al símbolo en la aplicación Correo que se muestra para los correos electrónicos firmados. Al hacer clic en él, se mostrará el certificado S/MIME obtenido para este usuario.