Renovar automáticamente los certificados entregados mediante un perfil de configuración

A partir de macOS Ventura, los administradores pueden establecer una preferencia del sistema que permite la renovación automática de certificados que cumplen los requisitos cuando los certificados se entregan como parte de un perfil de dispositivo.

Consultar qué certificados cumplen los requisitos para la renovación automática

Los certificados de Active Directory que se entregan como parte del perfil de un dispositivo son los únicos que cumplen los requisitos para la renovación automática.

Los siguientes certificados no cumplen los requisitos para la renovación automática y deben renovarse manualmente:

  • Cargas útiles de certificados de Active Directory entregadas como parte del perfil de un usuario

  • Certificados entregados como parte de una carga útil SCEP de cualquier clase

  • Certificados entregados como parte de un perfil que contiene una carga útil de administración de dispositivos móviles (MDM)

  • Certificados entregados como parte de un perfil de inscripción inalámbrica (OTA)

Desactivar la renovación automática de certificados que cumplen los requisitos

En macOS Ventura y versiones posteriores, los certificados que cumplen los requisitos se renuevan automáticamente. Si no quieres que el certificado en una carga útil se renueve automáticamente, puedes agregar una clave “EnableAutoRenewal” (booleana) con un valor de FALSE (falso).

O bien, para desactivar la renovación automática de certificados para todas las cargas útiles, ingresa este comando en Terminal en la Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Obtener más información

Los certificados que se renuevan automáticamente no se pueden renovar de forma manual, ni siquiera por medio de las preferencias de los perfiles o usando el comando profiles -W La renovación automática se realiza según la misma programación con la que se determina cuándo mostrar el botón Actualizar en las preferencias de los perfiles o cuándo enviar una notificación al usuario sobre la próxima caducidad del certificado. Si no se puede proceder a la renovación, se propone esta reprogramación para volver a intentarlo:

  • Si no se puede proceder a la renovación porque no se pudo establecer contacto con el servidor, se vuelven a hacer intentos una vez por hora o cuando hay una transición de red.

  • Si no se puede proceder a la renovación después de establecer contacto con el servidor, se vuelven a hacer intentos cada 24 horas, y la repetición de intentos fallidos no provoca el bloqueo de la cuenta de un usuario. Al reiniciar la Mac, no se desconfigura esta programación.

Fecha de publicación: