構成プロファイルで配布された証明書を自動更新する

macOS Sierra 10.12.4 から、管理者がターミナルのコマンドを使って、デバイスプロファイルの一部として配布した所定の証明書に対して自動更新を有効にできるようになりました。 

自動更新の対象となる証明書

デバイスプロファイルの一部として配布された ADCertificates だけが自動更新の対象となります。

以下の証明書は対象外なので、手動で更新が必要です。

  • ユーザプロファイルの一部として配布された ADCertificate ペイロード
  • 任意の種類の SCEP ペイロードの一部として配布された証明書
  • モバイルデバイス管理 (MDM) のペイロードを含むプロファイルの一部として配布された証明書
  • OTA (Over-The-Air) 登録プロファイルの一部として配布された証明書

対象となる証明書の自動更新を有効にする方法

Mac のターミナルで以下のコマンドを入力します。

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

自動更新を無効にするには、このコマンドの YES の部分を NO に書き換えます。対象となる証明書の自動更新を有効にするには、com.apple.mdmclient ドメインで AutoRenewCertificatesEnabledTrue に設定するデバイスプロファイルを使います。

関連情報

自動更新される証明書は、システム環境設定の「プロファイル」パネルや profiles -W コマンドを使うなど、手動では更新できません。自動更新は、システム環境設定の「プロファイル」パネルに「アップデート」ボタンが表示されるタイミング、またはユーザに証明書の期限が切れることを知らせる通知を送信するタイミングと同じスケジュールで実施されます。更新できなかった場合、以下のようにスケジュールを変えて再試行されます。

  • サーバに接続できなかったために更新が失敗した場合は、1 時間おきに、またはネットワークに変化があったタイミングで再試行されます。
  • サーバに接続した後で更新が失敗した場合は、何回も試行して失敗するとユーザのアカウントがロックされてしまうため、それを避けるため、24 時間おきに再試行されます。Mac を再起動しても、このスケジュールに影響はありません。
公開日: