Renovar automáticamente certificados distribuidos a través de un perfil de configuración

A partir de macOS Sierra 10.12.4, los administradores pueden establecer una preferencia del sistema que permite que los certificados que cumplen los requisitos se renueven automáticamente cuando dichos certificados se proporcionan como parte de un perfil del dispositivo. 

Ver qué certificados cumplen los requisitos para la renovación automática

Únicamente los certificados AD distribuidos como parte de un perfil de dispositivo cumplen los requisitos de la renovación automática.

Los siguientes certificados no cumplen los requisitos y deberán renovarse manualmente:

  • Las cargas de certificados AD distribuidos como parte de un perfil de usuario
  • Los certificados distribuidos como parte de una carga SCEP de cualquier tipo
  • Los certificados distribuidos como parte de un perfil que contenga una carga de gestión de dispositivos móviles (MDM)
  • Los certificados distribuidos como parte de un perfil de inscripción remoto (OTA)

Habilitar o deshabilitar la renovación automática de certificados que cumplen los requisitos

En macOS High Sierra 10.13.4 o versiones posteriores, los certificados que cumplen los requisitos se renuevan automáticamente. Si no quieres que el certificado de una carga se renueve automáticamente, puedes añadir una clave “EnableAutoRenewal” (booleana), con un valor de FALSO.

También puedes deshabilitar la renovación automática de certificados para todas las cargas introduciendo este comando en Terminal en tu Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Para habilitar las descargas automáticas en macOS Sierra 10.12.4 a través de macOS High Sierra 10.13.3, introduce este comando en Terminal:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Más información

Los certificados que se renuevan automáticamente no pueden renovarse de forma manual en las preferencias de Perfiles ni utilizando el comando profiles -W. La renovación automática tiene lugar en el momento en que el botón Actualizar está disponible en las preferencias de Perfiles, o bien al enviar al usuario una notificación informándole de que el certificado está a punto de vencer. Si no se puede completar la renovación, se volverá a intentar según las siguientes programaciones:

  • Si no se puede completar la renovación porque no ha sido posible contactar con el servidor, volverá a intentarse cada hora o cuando haya una transición de red.
  • Si no se puede completar la renovación tras contactar con el servidor, volverá a intentarse cada 24 horas para que, de esta manera, los intentos fallidos no hagan que se bloquee la cuenta del usuario. Reiniciar el Mac no afecta a esta programación.
Fecha de publicación: