Renovar automáticamente certificados distribuidos a través de un perfil de configuración

A partir de macOS Ventura, los administradores pueden establecer una preferencia del sistema que permite que los certificados que cumplen los requisitos se renueven automáticamente cuando dichos certificados se proporcionan como parte de un perfil del dispositivo.

Ver qué certificados cumplen los requisitos para la renovación automática

Únicamente los certificados AD distribuidos como parte de un perfil de dispositivo cumplen los requisitos para la renovación automática.

Los siguientes certificados no cumplen los requisitos y deberán renovarse manualmente:

  • Las cargas de certificados AD distribuidos como parte de un perfil de usuario

  • Los certificados distribuidos como parte de una carga SCEP de cualquier tipo

  • Los certificados distribuidos como parte de un perfil que contenga una carga de gestión de dispositivos móviles (MDM)

  • Los certificados distribuidos como parte de un perfil de inscripción remoto (OTA)

Desactivar la renovación automática de los certificados que cumplen los requisitos

En macOS Ventura y versiones posteriores, los certificados que cumplen los requisitos se renuevan automáticamente. Si no quieres que el certificado de una carga se renueve automáticamente, puedes añadir una clave “EnableAutoRenewal” (booleana), con un valor de FALSO.

También puedes deshabilitar la renovación automática de certificados para todas las cargas introduciendo este comando en Terminal en tu Mac:

sudo escribe por defecto /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Más información

Los certificados que se renuevan automáticamente no pueden renovarse de forma manual, ni a través de las preferencias de Perfiles ni utilizando el comando profiles -W La renovación automática tiene lugar en el momento en que el botón Actualizar está disponible en las preferencias de Perfiles, o bien al enviar al usuario una notificación informándole de que el certificado está a punto de vencer. Si no se puede completar la renovación, se volverá a intentar según las siguientes programaciones:

  • Si no se puede completar la renovación porque no ha sido posible contactar con el host, volverá a intentarse cada hora o cuando haya una transición de red.

  • Si no se puede completar la renovación tras contactar con el host, volverá a intentarse cada 24 horas para que, de esta manera, los intentos fallidos no hagan que se bloquee la cuenta del usuario. Reiniciar el Mac no afecta a esta programación.

Fecha de publicación: