Automatische Erneuerung von über ein Konfigurationsprofil bereitgestellten Zertifikaten

Ab macOS Sierra 10.12.4 können Administratoren einen Systemeinstellung verwenden, um qualifizierte Zertifikate, die im Rahmen eines Geräteprofils bereitgestellt werden, automatisch zu erneuern. 

Welche Zertifikate sind für die automatische Erneuerung qualifiziert?

Nur im Rahmen eines Geräteprofils bereitgestellte ADCertificates sind für die automatische Erneuerung qualifiziert.

Die folgenden Zertifikate sind nicht qualifiziert und müssen manuell erneuert werden:

  • Im Rahmen eines Benutzerprofils bereitgestellte ADCertificate-Payloads
  • Im Rahmen beliebiger SCEP-Payloads bereitgestellte Zertifikate
  • Im Rahmen eines Profils, das eine MDM-Payload enthält, bereitgestellte Zertifikate
  • Im Rahmen eines OTA-Registrierungsprofils bereitgestellte Zertifikate

So aktivieren Sie die automatische Erneuerung qualifizierter Zertifikate

Geben Sie auf Ihrem Mac in Terminal folgenden Befehl ein:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Ändern Sie zur Deaktivierung der automatischen Erneuerung in diesem Befehl YES zu NO. Um die automatische Erneuerung qualifizierter Zertifikate mit einem Konfigurationsprofil zu aktivieren, verwenden Sie ein Geräteprofil, das für AutoRenewCertificatesEnabled in der Domäne com.apple.mdmclient True festlegt.*

Fügen Sie bei Systemen mit macOS 10.13.4 den Schlüssel "EnableAutoRenewal" (ein Boolescher Wert) zur Payload des Active Directory-Zertifikats hinzu, um festzulegen, ob das Zertifikat automatisch erneuert werden soll.

* Wenn der Schlüssel AutoRenewCertificatesEnabled vorhanden ist und FALSE festlegt ist, findet unabhängig vom Schlüssel "EnableAutoRenewal" in der Payload des Zertifikats keine automatische Erneuerung statt.

Weitere Informationen

Zertifikate, die automatisch erneuert werden, können nicht manuell erneuert werden, auch nicht in den Profileinstellungen oder mit dem Befehl profiles -W. Die automatische Erneuerung erfolgt nach demselben Zeitplan, der festlegt, wann "Aktualisieren" in den Profileinstellungen angezeigt wird oder dem Benutzer eine Benachrichtigung gesendet wird, dass das Zertifikat abläuft. Falls die Erneuerung fehlschlägt, wird sie nach diesem festen Zeitplan wiederholt:

  • Wenn die Erneuerung fehlschlägt, weil der Server nicht kontaktiert werden konnte, wird sie einmal pro Stunde oder bei jeder Netzwerk-Transition wiederholt.
  • Wenn die Erneuerung nach dem Kontaktieren des Servers fehlschlägt, wird sie alle 24 Stunden wiederholt, wodurch sichergestellt wird, dass mehrere erfolglose Versuche nicht zur Sperrung des Benutzeraccounts führen. Ein Neustart des Mac hat auf diesen Zeitplan keine Auswirkung.
Veröffentlichungsdatum: