Automatische Erneuerung von über ein Konfigurationsprofil bereitgestellten Zertifikaten
Seit macOS Ventura können Administratoren eine Systemeinstellung festlegen, die die automatische Erneuerung von qualifizierten Zertifikaten ermöglicht, wenn die Zertifikate als Teil eines Geräteprofils bereitgestellt werden.
Prüfen, welche Zertifikate für eine automatische Erneuerung qualifiziert sind
Nur im Rahmen eines Geräteprofils bereitgestellte ADCertificates sind für die automatische Erneuerung qualifiziert.
Die folgenden Zertifikate sind nicht qualifiziert und müssen manuell erneuert werden:
Im Rahmen eines Benutzerprofils bereitgestellte ADCertificate-Payloads
Im Rahmen beliebiger SCEP-Payloads bereitgestellte Zertifikate
Im Rahmen eines Profils, das eine MDM-Payload enthält, bereitgestellte Zertifikate
Im Rahmen eines OTA-Registrierungsprofils bereitgestellte Zertifikate
Automatische Erneuerung qualifizierter Zertifikate deaktivieren
In macOS Ventura oder neuer werden qualifizierte Zertifikate automatisch erneuert. Wenn du nicht möchtest, dass das Zertifikat in einer Payload automatisch erneuert wird, kannst du den Schlüssel „EnableAutoRenewal“ (Boolean) mit dem Wert FALSE hinzufügen.
Oder, um die automatische Zertifikatserneuerung für alle Payloads zu deaktivieren, gib diesen Befehl in Terminal auf deinem Mac ein:
sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO
Weitere Informationen
Zertifikate, die automatisch erneuert werden, können nicht manuell erneuert werden, auch nicht in den Profileinstellungen oder mit dem Befehl profiles -W
Die automatische Erneuerung erfolgt nach demselben Zeitplan, der festlegt, wann die Taste „Aktualisieren“ in den Profileinstellungen angezeigt wird oder wann dem Benutzer eine Benachrichtigung gesendet wird, dass das Zertifikat abläuft. Wenn die Erneuerung fehlschlägt, wird sie nach diesem festen Zeitplan wiederholt:
Wenn die Erneuerung fehlschlägt, weil der Server nicht kontaktiert werden konnte, wird sie einmal pro Stunde oder bei jedem Netzwerkwechsel erneut versucht.
Wenn die Erneuerung nach dem Kontaktieren des Servers fehlschlägt, wird sie alle 24 Stunden erneut versucht, wodurch sichergestellt wird, dass mehrere erfolglose Versuche nicht zur Sperrung des Benutzeraccounts führen. Ein Neustart des Mac hat auf diesen Zeitplan keine Auswirkung.