Informazioni sul rinnovo automatico dei certificati forniti tramite un profilo di configurazione
A partire da macOS Ventura, gli amministratori possono impostare una preferenza di sistema che abilita il rinnovo automatico dei certificati idonei quando questi sono forniti con un profilo del dispositivo.
Scopri quali certificati sono idonei al rinnovo automatico
Solo i certificati ADCertificate forniti con un profilo del dispositivo sono idonei per il rinnovo automatico.
I seguenti certificati non sono idonei e devono essere rinnovati manualmente:
Payload ADCertificate forniti con un profilo utente
Certificati forniti con un payload SCEP di qualunque tipo
Certificati forniti con un profilo che include un payload di gestione dei dispositivi mobili (MDM)
Certificati forniti con un profilo di registrazione over-the-air (OTA)
Disabilitare il rinnovo automatico dei certificati idonei
In macOS Ventura e versioni successive, i certificati idonei si rinnovano automaticamente. Se non vuoi che il certificato di un payload si rinnovi automaticamente, puoi aggiungere la stringa “EnableAutoRenewal” (booleana) e impostarla sul valore FALSE.
In alternativa, per disabilitare il rinnovo automatico dei certificati per tutti i payload, inserisci questo comando in Terminale sul Mac:
sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO
Ulteriori informazioni
I certificati che si rinnovano automaticamente non possono essere rinnovati manualmente, neppure nelle preferenze dei profili o tramite il comando profiles -W
. Il rinnovo automatico segue la stessa pianificazione che determina la comparsa del pulsante Aggiorna nelle preferenze dei profili o l'invio all'utente di una notifica di scadenza del certificato. Se il rinnovo ha esito negativo, vengono eseguiti nuovi tentativi secondo la pianificazione prefissata:
Se il rinnovo ha esito negativo perché non è stato possibile contattare il server, i nuovi tentativi vengono eseguiti una volta ogni ora o quando si verifica una transizione di rete.
Se il rinnovo ha esito negativo dopo che è stato possibile contattare il server, i nuovi tentativi vengono eseguiti una volta ogni 24 ore per evitare che l'account dell'utente venga bloccato a causa dei tentativi non riusciti. Il riavvio del Mac non influisce su questa pianificazione.