Automatische Erneuerung von über ein Konfigurationsprofil bereitgestellten Zertifikaten

Ab macOS Sierra 10.12.4 können Administratoren eine Systemeinstellung verwenden, um qualifizierte Zertifikate, die im Rahmen eines Geräteprofils bereitgestellt werden, automatisch zu erneuern. 

Erfahren Sie, welche Zertifikate für die automatische Erneuerung qualifiziert sind

Nur im Rahmen eines Geräteprofils bereitgestellte ADCertificates sind für die automatische Erneuerung qualifiziert.

Die folgenden Zertifikate sind nicht qualifiziert und müssen manuell erneuert werden:

  • Im Rahmen eines Benutzerprofils bereitgestellte ADCertificate-Payloads
  • Im Rahmen beliebiger SCEP-Payloads bereitgestellte Zertifikate
  • Im Rahmen eines Profils, das eine MDM-Payload enthält, bereitgestellte Zertifikate
  • Im Rahmen eines OTA-Registrierungsprofils bereitgestellte Zertifikate

Automatische Erneuerung qualifizierter Zertifikate aktivieren oder deaktivieren

In macOS High Sierra 10.13.4 oder neuer werden qualifizierte Zertifikate automatisch erneuert. Wenn das Zertifikat in einer Payload nicht automatisch erneuert werden soll, können Sie den Schlüssel "EnableAutoRenewal" (ein Boolescher Wert) mit dem Wert FALSE hinzufügen.

Um die automatische Zertifikatserneuerung für alle Payloads zu deaktivieren, geben Sie diesen Befehl in Terminal auf Ihrem Mac ein:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Geben Sie den folgenden Befehl in Terminal ein, um automatische Downloads in macOS Sierra 10.12.4 bis macOS High Sierra 10.13.3 zu aktivieren:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Weitere Informationen

Zertifikate, die automatisch erneuert werden, können nicht manuell erneuert werden, auch nicht in den Profileinstellungen oder mit dem Befehl profiles -W. Die automatische Erneuerung erfolgt nach demselben Zeitplan, der festlegt, wann die Taste "Aktualisieren" in den Profileinstellungen angezeigt wird oder wann dem Benutzer eine Benachrichtigung gesendet wird, dass das Zertifikat abläuft. Falls die Erneuerung fehlschlägt, wird sie nach diesem festen Zeitplan erneut versucht:

  • Wenn die Erneuerung fehlschlägt, weil der Server nicht kontaktiert werden konnte, wird sie einmal pro Stunde oder bei jedem Netzwerkübergang erneut versucht.
  • Wenn die Erneuerung nach dem Kontaktieren des Servers fehlschlägt, wird sie alle 24 Stunden erneut versucht, wodurch sichergestellt wird, dass mehrere erfolglose Versuche nicht zur Sperrung des Benutzeraccounts führen. Ein Neustart des Mac hat auf diesen Zeitplan keine Auswirkung.
Veröffentlichungsdatum: