構成プロファイルで配布された証明書を自動更新する

macOS Sierra 10.12.4 から、管理者が証明書をデバイスプロファイルに組み込んで配布する場合に、適格な証明書であれば、システム環境設定で自動更新を有効にすることができるようになりました。 

自動更新の対象となる証明書

デバイスプロファイルの一部として配布された ADCertificates だけが自動更新の対象となります。

以下の証明書は対象外なので、手動で更新が必要です。

  • ユーザプロファイルの一部として配布された ADCertificate ペイロード
  • 任意の種類の SCEP ペイロードの一部として配布された証明書
  • モバイルデバイス管理 (MDM) のペイロードを含むプロファイルの一部として配布された証明書
  • OTA (Over-The-Air) 登録プロファイルの一部として配布された証明書

対象となる証明書の自動更新を有効または無効にする

macOS High Sierra 10.13.4 以降では、対象となる証明書が自動的に更新されます。ペイロードの証明書を自動更新したくない場合は、「EnableAutoRenewal」キー (ブール型) を追加し、値 FALSE を指定できます。

または、すべてのペイロードについて証明書の自動更新を無効にする場合は、Mac のターミナルで以下のコマンドを入力します。

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

macOS Sierra 10.12.4 〜 macOS High Sierra 10.13.3 で自動ダウンロードを有効にするには、ターミナルで以下のコマンドを入力します。

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

関連情報

自動更新される証明書は、システム環境設定の「プロファイル」パネルや profiles -W コマンドを使うなど、手動では更新できません。自動更新は、システム環境設定の「プロファイル」パネルに「アップデート」ボタンが表示されるタイミング、またはユーザに証明書の期限が切れることを知らせる通知を送信するタイミングと同じスケジュールで実施されます。更新できなかった場合、以下のようにスケジュールを変えて再試行されます。

  • サーバに接続できなかったために更新が失敗した場合は、1 時間おきに、またはネットワークに変化があったタイミングで再試行されます。
  • サーバに接続した後で更新が失敗した場合は、何回も試行して失敗するとユーザのアカウントがロックされてしまうため、それを避けるため、24 時間おきに再試行されます。Mac を再起動しても、このスケジュールに影響はありません。
公開日: