@TheCrazyProfessor ne devrait pas avoir besoin d'être dans un dossier spécifique. N'importe quel endroit devrait fonctionner. Je sais que cela semble étrange, mais pouvez-vous vérifier la deuxième ligne du script qui commence par DIR= a été copié correctement (ainsi que la première ligne). Cela définit la variable env de bash DIR à quelque chose (même si TMPDIR est vide, DIR devrait au moins avoir trustroot. ), et la commande echo semble montrer qu'il est vide quelques lignes plus loin. L'insertion d'espaces (par exemple) va casser les choses.

J'ai trouvé le problème, mon père a oublié d'entrer la première ligne... (MERCI PAPA) En tout cas, merci pour l'aide :D

Cette réponse a sauvé mon bacon aujourd'hui. Ça a marché comme sur des roulettes.

Tu as sauvé la soirée de ma mère. Merci

Hm, je ne suis pas familier avec le shell, cependant je pense que je m'en tenais au script. Néanmoins, j'ai obtenu la réponse du shell No such file or directory tout en essayant de régler le chmod 755 pour le fichier script. Je suis certainement dans le bon répertoire car avec ls a montré que tous les fichiers s'y trouvaient correctement. Stephans-Mac-Pro:certificates admin$ ls rootcerts.pem trustroot.sh Je suis également connecté en tant qu'administrateur. Une idée de ce que j'ai fait de mal ? Thx

@stephana Une erreur de frappe peut-être. Tapez chmod 755 suivi d'un espace suivi de t puis appuyez sur TAB pour que le nom soit auto-complété.

Cela a parfaitement fonctionné pour mettre à jour un système fonctionnant sous MacOS 10.11.6 à partir d'un système fonctionnant sous MacOS 10.15.7 ! !! Merci !

Ce serait vraiment génial si quelqu'un pouvait mettre en ligne le fichier .pem contenant ces derniers certificats ! Je doute fortement que cela puisse enfreindre une quelconque propriété d'Apple - en fait, le certificat en question est disponible librement (voir ma réponse séparée).

@RJVB J'ai délibérément fait pas faire cela, car vous n'auriez aucun moyen de savoir si ces certificats sont authentiques. Je pourrais introduire en douce un autre certificat qui me permettrait d'usurper l'identité de n'importe quel site web pour toute personne ayant téléchargé mon paquet. Je mettrai à jour la réponse pour dire pourquoi je ne l'ai pas fait.

Je comprends votre argument mais à un moment donné, il faut accorder la confiance, je pense que c'est là tout le problème. Nous faisons également confiance à Apple pour ne pas insérer des éléments (pas seulement des certificats) qui leur permettent de faire qui sait quoi avec nos données privées.

De plus, pourquoi ne copier que le premier groupe de certificats au lieu de tous les copier ? Si vous exportez un System Roots et qui ne peut contenir que des éléments ajoutés par le système, pourquoi ne pas vouloir importer tout ce contenu en complément du contenu de la section System Roots sur un système obsolète ?

@RJVB étant donné que les lecteurs de cette question ont déjà acheté quelque chose auprès d'Apple qui leur a fourni leur pack de certificats d'origine, je pense qu'il est plus probable qu'ils fassent confiance à Apple plutôt qu'à un inconnu sur Internet (moi), comme ils le faisaient lorsqu'ils mettaient à jour leur système d'exploitation (avant qu'Apple ne cesse de fournir des mises à jour). Je ne suis pas sûr de comprendre votre deuxième point : je ne copie délibérément que le paquet de certificats fourni par le système d'exploitation et non (par exemple) les certificats fournis par l'utilisateur, pour la même raison.

D'après ce que vous indiquez dans votre réponse, et d'après ce que j'ai vu moi-même, la System Roots ne peut être mis à jour que par le système. Il ne peut donc pas contenir de certificats fournis par l'utilisateur. Si c'est le cas, quelle garantie y a-t-il qu'aucun utilisateur n'a modifié (augmenté) le niveau de confiance d'un certificat non original ? Pour information, ce magasin correspond à un fichier dans le répertoire /System/Library/Keychains sur mon système 10.9, donc je suppose que c'est ce fichier qui est remplacé périodiquement par les mises à jour d'Apple. Si c'est le cas, il devrait être possible de l'obtenir à partir de ces mises à jour, peut-être même de manière programmatique.

@RJVB mes excuses. Je pensais que vous préconisiez l'exportation de magasins autres que System Roots Je suis d'accord pour dire que cela ne peut pas contenir de certificats fournis par l'utilisateur. Pourriez-vous préciser ce que vous préconisez d'exporter en plus de ce que j'exporte actuellement (ce qui, je crois, est l'ensemble de System Roots ) ? IE : que vouliez-vous dire par "pourquoi ne copier que le 1er groupe de certificats au lieu de tous les copier" - Je crois que ce que j'ai suggéré fait copier tous les certificats dans System Roots .

Je ne préconisais pas, je demandais en fait ce que vous (pensez) exclure avec vos instructions ! En d'autres termes, ne pouvez-vous pas simplement exporter l'intégralité de System Roots sur le système le plus récent vers un fichier .pem, puis faites glisser ce fichier dans/sur l'ordinateur de l'utilisateur. System ouvert avec l'utilitaire Keychain sur le système cible ? En regardant à nouveau le script, je ne vois pas vraiment comment il exclut tout type de certificat du fichier exporté, donc je suis (encore) perdu ce qui serait dans but not the second nor the third [group] .

Savez-vous comment Apple envoie les mises à jour à la System Root en incluant une version mise à jour du fichier correspondant dans la base de données de l'UE. /System/Library/Keychain Je présume ? Quelle est la dernière mise à jour qui a fait ça ? Si le fichier en question peut être extrait, il suffirait de fournir des informations à jour sur le ou les derniers installateurs, ainsi qu'une recette pour extraire et installer le fichier.

but not the second nor the third [group] fait référence aux deuxième et troisième groupes de la question, c'est-à-dire "Toujours demander" et "Bloqué". J'ai vérifié de manière empirique qu'aucune demande bloquée n'a été exportée. Je n'ai pas de "Always Ask". Je ne sais pas précisément comment le trousseau du système est (re)construit lors des mises à jour de l'OS. Une façon de l'extraire en ligne de commande serait plus satisfaisante que d'utiliser l'accès au trousseau, je suis d'accord.

Superbe - J'ai réussi à remettre en marche le vieux Mac de mon père fonctionnant sous El Capitan avec mes certificats Montery en utilisant cette approche. Merci !

Merci ! L'explication est très claire. Les étapes sont également claires et directes. Le script atteint un bon équilibre en étant idiomatique mais simple. Et il a parfaitement fonctionné.

C'est horrible si Apple nous oblige à faire ça.

Hmm... Cela n'a pas corrigé mon Safari sur MacOS X 10.6.8 Snow Leopard même si cela a tout son sens... Oui, l'iMac que je veux utiliser peut vraiment être qualifié d'"ancien" - et la raison pour laquelle je l'utilise est que j'essaie de faire revivre un vieux code source qui ne peut pas être compilé sur le dernier MacOS. J'ai obtenu les certificats de Monterey.

@RaduC De mémoire, le script devrait imprimer quelque chose pour chaque certificat qu'il importe. Cela s'est-il produit ? Si non, vérifiez comment vous les avez exportés. Essayez d'utiliser Keychain Access pour vérifier que les certificats ont été importés correctement. Utilisez Safari (cliquez sur le cadenas dans la barre d'emplacement) pour déterminer ceux qui sont manquants. La machine que j'ai utilisée est snow leopard et également ancienne (MBP 2013) donc cela devrait fonctionner.

@abligh Oui, il a tout imprimé. Je ne sais pas ce que je devrais voir dans Keychain Access exactement, mais tous les certificats dans System Roots expirent dans le futur. Comme il s'agit d'un problème de faible priorité, je viens d'installer Firefox 45.9.0 ESR et je mets en liste blanche les sites qui se plaignent. Le web est à moitié cassé de toute façon, car tout JavaScript ne peut plus fonctionner. Tout ce qui est protégé par CloudFlare est hors de question (par exemple, GitLab).

Il est dit de ne pas commenter avec des choses comme "merci" mais je vais le faire quand même... cette astuce m'a aidé à résoudre ce problème pour tant d'amis avec des macbooks plus anciens, et a aidé les nombreux qui gardent et choisissent d'utiliser les anciennes versions d'OSX. Donc merci à vous et merci à vous !

CURL maintient également une liste de certificats racine que vous pouvez télécharger et vérifier avec un hachage SHA256, si vous leur faites confiance. Je pense que la plupart des gens le font ! curl.se/docs/caextract.html

@dotnetCarpenter merci - j'ai ajouté un paragraphe.