Renouvellement automatique des certificats issus d’un profil de configuration
À partir de macOS Ventura, les administrateurs peuvent définir une préférence système qui permet le renouvellement automatique des certificats admissibles lorsque les certificats sont fournis dans le cadre d’un profil d’appareil.
Voir quels certificats sont admissibles au renouvellement automatique
Seuls les ADCertificates fournis dans le cadre d’un profil d’appareil peuvent faire l’objet d’un renouvellement automatique.
Les certificats suivants ne sont pas admissibles et doivent être renouvelés manuellement :
Entités ADCertificate faisant partie d’un profil utilisateur
Certificats fournis dans le cadre d’une entité SCEP de n’importe quel type
Certificats fournis dans le cadre d’un profil qui contient une entité de gestion des appareils mobiles (GAM)
Certificats fournis dans le cadre d’un profil d’inscription à distance (mode OTA)
Désactiver le renouvellement automatique des certificats admissibles
Dans macOS Ventura et les versions ultérieures de macOS, les certificats admissibles sont renouvelés automatiquement. Si vous ne souhaitez pas que le certificat d’une entité soit renouvelé automatiquement, vous pouvez ajouter une clé « EnableAutoRenewal » (booléenne), en lui attribuant la valeur FALSE.
Ou, pour désactiver le renouvellement automatique des certificats pour toutes les entités, entrez cette commande dans Terminal sur votre Mac :
sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO
En savoir plus
Les certificats qui se renouvellent automatiquement ne peuvent pas être renouvelés manuellement, y compris dans les préférences Profils ou en utilisant la commande profiles -W Le renouvellement automatique suit le même programme que celui qui détermine le moment où le bouton de mise à jour s’affiche dans les préférences Profils, ou quand envoyer une notification à l’utilisateur pour lui indiquer que le certificat est sur le point d’expirer. Si le renouvellement échoue, de nouvelles tentatives sont effectuées selon le programme prédéterminé suivant :
Si le renouvellement échoue parce que le contact n’a pas pu être établi avec le serveur, une nouvelle tentative est effectuée chaque heure ou lorsqu’une transition de réseau est réalisée.
Si le renouvellement échoue après avoir contacté le serveur, une nouvelle tentative est effectuée toutes les 24 heures, afin de s’assurer que les diverses tentatives infructueuses n’entraînent pas le verrouillage du compte de l’utilisateur. Redémarrer votre Mac n’a aucun effet sur ce programme.
