O uso de certificados de cliente com o Safari apresenta vários problemas:
Como posso corrigir esses problemas?
Respostas:
Os certificados de cliente do Safari e as preferências relacionadas são armazenados no Keychain Manager com um tipo de certificado .
Quando você seleciona um certificado para usar com um site, ele armazena outra entrada no Keychain Manager com um tipo de preferência de identidade . Infelizmente, por padrão, ele o armazena apenas para a página exata em que você estava. O nome e o local estão definidos para o URL da página.
Para corrigir isso, basta editar uma das entradas de preferências de identidade e alterar a seção where para o URL base, como https://somesslsite.com/(a barra final é importante!). Também atualizo o nome para a mesma coisa para evitar confusão. Você pode excluir todas as outras entradas de preferência de identidade desse site.
Se você possui um certificado que expirou e teve que adicionar um novo, recomendo que você exclua as entradas antigas do certificado e todas as entradas de preferência de identidade relacionadas .
Para localizar entradas de preferências de certificado e identidade , abra o Gerenciador de chaves, verifique se Todos os itens está selecionado e procure o URL parcial e / ou o nome do certificado, conforme apropriado. Você provavelmente não tem muitos, por isso, se isso não funcionar, apenas classifique a lista por tipo e você poderá encontrá-los facilmente.
OBSERVAÇÃO: eu mesmo respondo a isso desde que descobri, mas queria persistir no conhecimento para mim e para os outros.
Caminhos parciais e curingas agora são suportados nas versões mais recentes do OS X. Portanto, você pode usar o Gerenciador de Chaves para criar uma preferência de identidade para um site e / ou domínio inteiro.
Exemplo de caminho parcial (observe que a barra final é necessária!):
https://server.mydomain.com/
Exemplo curinga:
*.mydomain.com
Detalhes completos aqui (na página 'man security'):
Antes da 10.5.4, as preferências de identidade para autenticação de cliente SSL / TLS só podiam ser definidas por URL. O URL que está sendo visitado precisa corresponder exatamente ao nome do serviço para que a preferência entre em vigor.
Na 10.5.4, tornou-se possível especificar preferências de identidade por servidor, usando um nome de serviço com uma URL de caminho parcial para corresponder a caminhos mais específicos no mesmo servidor. Por exemplo, se existir uma preferência de identidade para " https://www.apache-ssl.org/ ", ela entrará em vigor para " https://www.apache-ssl.org/cgi/cert-export ", e assim por diante. Observe que os URLs de caminho parcial devem terminar com um caractere de barra final.
A partir do 10.6, é possível especificar preferências de identidade por domínio, usando o caractere curinga
*como o componente mais à esquerda do nome do serviço. Ao contrário dos curingas SSL, um curinga de preferência de identidade pode corresponder a mais de um subdomínio. Por exemplo, uma preferência de identidade para o nome*.army.milcorresponderá aserver1.subdomain1.army.milouserver2.subdomain2.army.mil. Da mesma forma, uma preferência por*.milcorresponderá aserver.army.mileserver.navy.mil.
Eu mesmo tenho lutado com isso e a resposta acima me fez perceber o que estava acontecendo.
Se você tinha um certificado para um site e ele expirou, o que você deve fazer é remover o certificado antigo. Em seguida, remova também os itens do tipo de preferência de identidade para esse site. Esses itens antigos expiram tanto quanto o certificado. Depois de removê-los, qualquer nova preferência de identidade será armazenada e usada corretamente.
Tão:
Em seguida, você pode navegar até o site, selecionar o novo certificado na lista; isso será lembrado para esse endereço da web específico. Atualmente, estamos no Safari 5.1.3 e esta versão não usa caracteres curinga para preferências. Você terá que adicionar a preferência para cada alteração no endereço da Web ... Espero que isso ajude alguém, apenas divulgando porque não o fiz. encontre qualquer resposta completa.