Renovar automáticamente los certificados entregados mediante un perfil de configuración

A partir de macOS Sierra 10.12.4, los administradores pueden usar un comando de Terminal para activar la renovación automática de determinados certificados que se entregan como parte de un perfil del dispositivo. 

¿Qué certificados cumplen los requisitos para la renovación automática?

Los certificados de Active Directory que se entregan como parte del perfil de un dispositivo son los únicos que cumplen los requisitos para la renovación automática.

Los siguientes certificados no cumplen los requisitos para la renovación automática y deben renovarse manualmente:

  • Cargas útiles de certificados de Active Directory entregadas como parte del perfil de un usuario
  • Certificados entregados como parte de una carga útil SCEP de cualquier clase
  • Certificados entregados como parte de un perfil que contiene una carga útil de administración de dispositivos móviles (MDM)
  • Certificados entregados como parte de un perfil de inscripción inalámbrica (OTA)

Cómo activar la renovación automática de los certificados que cumplen los requisitos para tal renovación

Ingresa este comando en Terminal en tu Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Para desactivar la renovación automática, cambia YES por NO en este comando. Para activar la renovación automática de los certificados que cumplen los requisitos para tal renovación mediante un perfil de configuración, usa un perfil de dispositivo que configure AutoRenewCertificatesEnabled en Verdadero en el dominio com.apple.mdmclient.

Más información

Los certificados que se renuevan automáticamente no se pueden renovar de forma manual, ni siquiera por medio de las preferencias de los perfiles o usando el comando profiles -W. La renovación automática se realiza según la misma programación con la que se determina cuándo mostrar el botón Actualizar en las preferencias de los perfiles o cuándo enviar una notificación al usuario sobre la próxima caducidad del certificado. Si no se puede proceder a la renovación, se propone esta reprogramación para volver a intentarlo:

  • Si no se puede proceder a la renovación porque no se pudo establecer contacto con el servidor, se vuelven a hacer intentos una vez por hora o cuando hay una transición de red.
  • Si no se puede proceder a la renovación después de establecer contacto con el servidor, se vuelven a hacer intentos cada 24 horas, y la repetición de intentos fallidos no provoca el bloqueo de la cuenta de un usuario. Al reiniciar la Mac, no se desconfigura esta programación.
Fecha de publicación: