Renovar automáticamente certificados distribuidos a través de un perfil de configuración

A partir de macOS Sierra 10.12.4, los administradores pueden ajustar una preferencia del sistema que permite la renovación automática de certificados aptos cuando los certificados se proporcionan como parte de un perfil del dispositivo. 

Qué certificados son elegibles para la renovación automática

Únicamente los certificados AD distribuidos como parte de un perfil de dispositivo son elegibles para la renovación automática.

Los siguientes certificados no son elegibles y deberán renovarse manualmente:

  • Las cargas de certificados AD distribuidos como parte de un perfil de usuario
  • Los certificados distribuidos como parte de una carga SCEP de cualquier tipo
  • Los certificados distribuidos como parte de un perfil que contenga una carga de gestión de dispositivos móviles (MDM)
  • Los certificados distribuidos como parte de un perfil de inscripción remoto (OTA)

Cómo activar la renovación automática de los certificados elegibles

Introduce este comando en Terminal en el Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Para desactivar la renovación automática, reemplaza YES por NO en el comando. Para activar la renovación automática de los certificados elegibles utilizando un perfil de configuración, utiliza un perfil de dispositivo que establezca AutoRenewCertificatesEnabled en True en el dominio com.apple.mdmclient*.

En sistemas macOS 10.13.4, añade la clave "EnableAutoRenewal" (booleana) a la carga de certificado de Active Directory para especificar si el certificado debería renovarse automáticamente.

* Si la clave AutoRenewCertificatesEnabledexiste y se establece en FALSE, no se realizará ninguna renovación automática independientemente de la clave EnableAutoRenewal de la carga de certificado.

Más información

Los certificados que se renuevan automáticamente no pueden renovarse de forma manual, ni a través de las preferencias de Perfiles ni utilizando el comando profiles -W. La renovación automática tiene lugar en el momento en que el botón Actualizar está disponible en las preferencias de Perfiles, o bien al enviar al usuario una notificación informándole de que el certificado está a punto de vencer. Si no se puede completar la renovación, se volverá a intentar según las siguientes programaciones:

  • Si no se puede completar la renovación porque no ha sido posible contactar con el servidor, volverá a intentarse cada hora o cuando haya una transición de red.
  • Si no se puede completar la renovación tras contactar con el servidor, volverá a intentarse cada 24 horas para que, de esta manera, los intentos fallidos no hagan que se bloquee la cuenta del usuario. Reiniciar el Mac no afecta a esta programación.
Fecha de publicación: