Rinnovo automatico dei certificati forniti tramite un profilo di configurazione

A partire da macOS Sierra 10.12.4, gli amministratori possono impostare una preferenza di sistema che permette il rinnovo di certificati idonei quando i certificati sono forniti come parte del profilo di un dispositivo. 

Quali certificati sono idonei per il rinnovo automatico?

Solo i certificati ADCertificate forniti come parte di un profilo del dispositivo sono idonei per il rinnovo automatico.

I certificati seguenti non sono idonei e devono essere rinnovati manualmente:

  • I payload ADCertificate forniti come parte di un profilo utente
  • I certificati forniti come parte di un payload SCEP di qualunque tipo
  • I certificati forniti come parte di un profilo che contiene un payload di gestione dei dispositivi mobili (MDM)
  • I certificati forniti come parte di un profilo di registrazione over-the-air (OTA)

Come abilitare il rinnovo automatico di certificati idonei

Immetti questo comando in Terminale sul Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Per disabilitare il rinnovo automatico, modifica YES in NO in questo comando. Per abilitare il rinnovo automatico di certificati idonei usando un profilo di configurazione, usa un profilo del dispositivo che consenta di impostare AutoRenewCertificatesEnabled su True nel dominio com.apple.mdmclient.*

Sui sistemi macOS 10.13.4, aggiungi la stringa "EnableAutoRenewal" (booleana) al payload del certificato Active Directory per specificare se il certificato deve essere rinnovato automaticamente.

* Se la stringa AutoRenewCertificatesEnabled esiste ed è impostata su FALSE, non avviene nessun rinnovo automatico a prescindere dalla stringa EnableAutoRenewal nel payload del certificato.

Scopri di più

I certificati che si rinnovano automaticamente non possono essere rinnovati manualmente, anche nelle preferenze dei profili o tramite il comando -W dei profili. Il rinnovo automatico viene eseguito sulla stessa pianificazione che stabilisce quando mostrare il pulsante per l'aggiornamento nelle preferenze del profilo o quando inviare all'utente una notifica sulla scadenza del certificato. Se il rinnovo ha esito negativo, vengono eseguiti nuovi tentativi su questa pianificazione fissa:

  • Se il rinnovo ha esito negativo perché non è stato possibile contattare il server, i nuovi tentativi vengono eseguiti una volta all'ora o quando si verifica una transizione di rete.
  • Se il rinnovo ha esito negativo dopo aver contattato il server, i nuovi tentativi vengono eseguiti una volta ogni 24 ore, verificando che i tentativi non riusciti non causino il blocco dell'account dell'utente. Il riavvio del Mac non influisce su questa pianificazione.
Data di pubblicazione: