¿Cómo almacenar y recuperar certificados S/MIME en Open Directory (LDAP) de macOS Server?

Lo encontré, y es bastante fácil (como cabría esperar de macOS). Voy a explicar paso a paso.

Cómo almacenar certificados S/MIME en Open Directory

1. Inicie la aplicación Directory Utility , ya sea directamente desde Spotlight o (así es como lo encontré) yendo a Preferencias del sistema > Usuarios y grupos > (autentíquese si es necesario) Servidor de cuenta de red - Editar (o Conectar si aún no lo ha hecho)> Utilidad de directorio abierto
2. Seleccione el Editor de directorios en la parte superior
3. Seleccione Visualización: Usuarios , si no está seleccionado de forma predeterminada, haga clic en un usuario y se mostrarán los atributos establecidos del usuario.
4. Para agregar un atributo, haga clic en el candado de arriba, autentíquese para ingresar al modo de edición. Tenga en cuenta que, esta vez, debe autenticarse con las credenciales de administrador del directorio, porque ahora queremos editar las entradas del directorio.
5. Haga clic en el signo + debajo de la lista de atributos para agregar un nuevo atributo
6. Como verá, los atributos userCertificate y userSMIMECertificate ya están disponibles en la lista desplegable
7. Seleccione uno de ellos, luego presione OK
8. Cuando hace clic en el atributo, sus datos se muestran debajo de la lista de atributos
9. Puede alternar entre la vista Texto y Datos: para agregar un certificado S/MIME, copie y pegue en la vista de texto o simplemente suelte el archivo en la vista de Datos
10. ¡Eso es todo!

Creo que los datos del certificado S/MIME deberían estar en formato PEM, pero no estoy seguro.

Cómo recuperar certificados S/MIME de Open Directory

Para permitir que los clientes recuperen certificados S/MIME de Open Directory (o cualquier LDAP en realidad), aquí se explica cómo hacerlo en un cliente Mac:

Use la aplicación Directory Utility, como se explicó anteriormente, para agregar el servidor LDAP a la lista de búsqueda en la Mac del cliente (también se explica aquí ). Asegúrese de que el servidor LDAP esté agregado en la lista Política de búsqueda en Contactos . No es necesario habilitar el servidor de Contactos en la aplicación Servidor.

Una vez que haya agregado con éxito el servidor LDAP, abra su aplicación Contactos en el cliente. Debería haber una nueva entrada Servicios de directorio en la barra lateral izquierda. Haga clic en él, luego, en el campo de búsqueda, ingrese el nombre de un usuario en su directorio LDAP. Luego se debe mostrar la entrada del directorio y, a la izquierda de la dirección de correo electrónico, debe ver un pequeño símbolo de certificado similar al símbolo en la aplicación Correo que se muestra para los correos electrónicos firmados. Al hacer clic en él, se mostrará el certificado S/MIME obtenido para este usuario.