Renouvellement automatique des certificats issus d’un profil de configuration

À partir de MacOS Sierra 10.12.4, les administrateurs peuvent définir une préférence système qui permet le renouvellement automatique des certificats éligibles lorsque les certificats sont issus dans le cadre d’un profil d’appareil. 

Quels sont les certificats éligibles au renouvellement automatique ?

Seuls les ADCertificates fournis dans le cadre d’un profil d’appareil sont éligibles au renouvellement automatique.

Les certificats suivants ne sont pas éligibles et doivent être renouvelés manuellement :

  • Entités ADCertificate faisant partie d’un profil d’utilisateur
  • Certificats fournis dans le cadre d’une entité SCEP de n’importe quel type
  • Certificats fournis dans le cadre d’un profil qui contient une entité de gestion des appareils mobiles (MDM)
  • Certificats fournis dans le cadre d’un profil d’inscription en mode OTA

Comment activer le renouvellement automatique des certificats éligibles

Saisissez cette commande dans Terminal sur votre Mac :

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Pour désactiver le renouvellement automatique, remplacez YES par NO dans cette commande. Pour activer le renouvellement automatique des certificats éligibles en utilisant un profil de configuration, utilisez un profil d’appareil qui définit AutoRenewCertificatesEnabled sur True dans le domaine com.apple.mdmclient.*

Sur les systèmes macOS 10.13.4, ajoutez la clé « EnableAutoRenewal » (une valeur booléenne) aux données utiles du certificat Active Directory pour spécifier si le certificat doit être renouvelé automatiquement.

* Si la clé AutoRenewCertificatesEnabled existe et est définie sur FALSE, aucun renouvellement automatique n’aura lieu, quelle que soit la clé EnableAutoRenewal dans les données utiles du certificat.

Informations supplémentaires

Les certificats qui se renouvellent automatiquement ne peuvent pas être renouvelés manuellement, notamment dans les préférences Profils ou en utilisant la commande profiles -W. Le renouvellement automatique suit le même programme que celui qui détermine le moment où le bouton de mise à jour s’affiche dans les préférences Profils, ou quand envoyer une notification à l’utilisateur pour lui indiquer que le certificat est sur le point d’expirer. Si le renouvellement échoue, de nouvelles tentatives sont effectuées selon le programme prédéterminé suivant :

  • Si le renouvellement échoue parce que le contact n’a pas pu être établi avec le serveur, une nouvelle tentative est effectuée chaque heure ou lorsqu’une transition de réseau est réalisée.
  • Si le renouvellement échoue après avoir contacté le serveur, une nouvelle tentative est effectuée toutes les 24 heures, afin de s’assurer que les diverses tentatives infructueuses n’entraînent pas le verrouillage du compte de l’utilisateur. Redémarrer votre Mac n’a aucun effet sur ce programme.
Date de publication: