Como faço o Safari usar automaticamente um certificado de cliente específico para um site inteiro?

Os certificados de cliente e as preferências relacionadas do Safari são armazenados no Gerenciador de Chaveiro com um tipo de certificado .

Quando você seleciona um certificado para usar com um site, ele armazena outra entrada no Gerenciador de Chaveiro com um tipo de preferência de identidade . Infelizmente, por padrão, ele armazena apenas para a página exata em que você estava. Tanto o nome como a localização estão definidos para o URL da página.

Para corrigir isso, você pode editar apenas uma das entradas de preferência de identidade e alterar a seção onde para o URL base, como https://somesslsite.com/ (a barra final é importante!). Eu também atualizo o nome para a mesma coisa para evitar confusão. Você pode então excluir todas as outras preferências de identidade para esse site.

Se você tiver um certificado expirado e tiver que adicionar um novo, recomendo que exclua as entradas antigas do certificado e todas as preferência de identidade relacionadas entradas.

Para encontrar as entradas certificado e preferência de identidade , abra o Gerenciador de Chaveiro, verifique se Todos os Itens está selecionado e pesquise o URL parcial e / ou nome do certificado, conforme apropriado. Você provavelmente não tem muitos, então se isso não funcionar, apenas ordene a lista por kind e você poderá encontrá-los facilmente.

NOTA: Eu mesmo respondo a isso desde que descobri, mas queria persistir o conhecimento para mim e para os outros.

Caminhos parciais e curingas agora são suportados em versões mais recentes do OS X. Assim, você pode usar o Gerenciador de Chaveiro para criar uma preferência de identidade para um site e / ou domínio inteiro.

Exemplo de caminho parcial (observe que a barra final é obrigatória!):

https://server.mydomain.com/

Exemplo de curinga:

*.mydomain.com

Detalhes completos aqui (da página "man security"):

Prior to 10.5.4, identity preferences for SSL/TLS client authentication could only be set on a per-URL basis. The URL being visited had to match the service name exactly for the preference to be in effect.

In 10.5.4, it became possible to specify identity preferences on a per-server basis, by using a service name with a partial path URL to match more specific paths on the same server. For example, if an identity preference for "https://www.apache-ssl.org/" exists, it will be in effect for "https://www.apache-ssl.org/cgi/cert-export", and so on. Note that partial path URLs must end with a trailing slash character.

Starting with 10.6, it is possible to specify identity preferences on a per-domain basis, by using the wildcard character * as the leftmost component of the service name. Unlike SSL wildcards, an identity preference wildcard can match more than one subdomain. For example, an identity preference for the name *.army.mil will match server1.subdomain1.army.mil or server2.subdomain2.army.mil. Likewise, a preference for *.mil will match both server.army.mil and server.navy.mil.

Eu mesmo tenho lutado com isso e a resposta acima me fez perceber o que estava acontecendo.

Se você tivesse um certificado para um site e ele expirasse, o que você deve fazer é remover o certificado antigo. Em seguida, remova também os itens do tipo preferência de identidade para esse site. Esses itens antigos são expirados tanto quanto o certificado. Depois de removê-los, qualquer nova preferência de identidade será armazenada e usada corretamente.

Então:

1. Remover certificado antigo
2. Remover os itens de preferência de identidade do certificado antigo
3. Adicionar novo certificado

Depois, você pode navegar até o site, selecionar o novo certificado da lista, isso será lembrado por esse endereço da Web específico. Atualmente estamos no Safari 5.1.3 e esta versão não usará nenhum curinga para preferências, você terá que adicionar a preferência para cada mudança no endereço da web ... Espero que isso ajude alguém, apenas colocando lá fora porque eu não fiz encontre qualquer resposta completa.