Использование клиентских сертификатов с Safari представляет ряд проблем:
Как я могу исправить эти проблемы?
Клиентские сертификаты Safari и соответствующие настройки хранятся в Keychain Manager с видом сертификата.
При выборе сертификата для использования с веб - сайта, он хранит еще одну запись в Keychain диспетчера с видом предпочтения идентичности. К сожалению, по умолчанию он сохраняет его только для той страницы, на которой вы были. И имя, и местоположение указываются по URL-адресу страницы.
Чтобы это исправить, вы можете просто отредактировать одну из записей предпочтений идентификации и изменить раздел where на базовый URL, например https://somesslsite.com/ (косая черта важна!). Я также обновляю имя , чтобы предотвратить путаницу. Затем вы можете удалить все другие записи настроек личности для этого сайта.
Если у вас есть сертификат, срок действия которого истек, и вам нужно было добавить новый, я бы порекомендовал вам удалить старые записи сертификата и все связанные записи предпочтений идентификации .
Чтобы найти записи о предпочтениях сертификата и идентификатора , откройте диспетчер цепочки ключей, убедитесь, что выбраны все элементы , и выполните поиск частичного URL-адреса и / или имени сертификата в зависимости от ситуации. Возможно, у вас их немного, поэтому, если это не сработает, просто отсортируйте список по видам, и вы сможете легко их найти.
ПРИМЕЧАНИЕ: я отвечаю на это сам, так как я понял это, но хотел сохранить знания для себя и других.
Частичные пути и подстановочные знаки теперь поддерживаются в более поздних версиях OS X. Таким образом, вы можете использовать Keychain Manager для создания предпочтений идентификации для всего веб-сайта и / или домена.
Пример неполного пути (обратите внимание, что косая черта обязательна!):
https://server.mydomain.com/
Пример с подстановочными знаками:
*.mydomain.com
Полная информация здесь (со страницы «man security»):
До 10.5.4 предпочтения идентификации для аутентификации клиента SSL/TLS могли быть установлены только для каждого URL-адреса. Просматриваемый URL-адрес должен точно соответствовать имени службы, чтобы предпочтение вступило в силу.
В 10.5.4 стало возможным указывать предпочтения идентичности для каждого сервера, используя имя службы с частичным URL-адресом, чтобы соответствовать более конкретным путям на том же сервере. Например, если предпочтение идентификации для « https://www.apache-ssl.org/ » существует, оно будет действовать для « https://www.apache-ssl.org/cgi/cert-export », и так далее. Обратите внимание, что URL-адреса частичного пути должны заканчиваться символом косой черты.
Начиная с 10.6, можно указывать предпочтения идентичности для каждого домена, используя подстановочный знак
*качестве самого левого компонента имени службы. В отличие от подстановочных знаков SSL, подстановочный знак предпочтения идентификации может соответствовать нескольким поддоменам. Например, предпочтение идентификации для имени*.army.milбудет соответствоватьserver1.subdomain1.army.milилиserver2.subdomain2.army.mil. Аналогично, предпочтение для*.milбудет соответствовать какserver.army.milиserver.navy.mil.
Я боролся с этим сам, и приведенный выше ответ заставил меня понять, что происходит.
Если у вас есть сертификат для веб-сайта и срок его действия истек, вам следует удалить старый сертификат. Затем также удалите элементы типа предпочтения идентификации для этого веб-сайта. Срок действия этих старых предметов такой же, как и у сертификата. После того, как вы удалите их, все новые идентификационные предпочтения будут сохранены и использованы правильно.
Так:
Затем вы можете перейти на сайт, выбрать новый сертификат из списка, это будет запомнено для этого конкретного веб-адреса. В настоящее время мы находимся на Safari 5.1.3, и эта версия не будет использовать подстановочные знаки для настроек, вам придется добавлять настройки для каждого изменения веб-адреса ... Надеюсь, это кому-нибудь поможет, просто выложу это, потому что я не нашел полного ответа.