構成プロファイルで配布された証明書を自動更新する

macOS Sierra 10.12.4 から、管理者が証明書をデバイスプロファイルに組み込んで配布する場合に、適格な証明書であれば、システム環境設定で自動更新を有効にすることができるようになりました。 

自動更新の対象となる証明書

デバイスプロファイルの一部として配布された ADCertificates だけが自動更新の対象となります。

以下の証明書は対象外なので、手動で更新が必要です。

  • ユーザプロファイルの一部として配布された ADCertificate ペイロード
  • 任意の種類の SCEP ペイロードの一部として配布された証明書
  • モバイルデバイス管理 (MDM) のペイロードを含むプロファイルの一部として配布された証明書
  • OTA (Over-The-Air) 登録プロファイルの一部として配布された証明書

対象となる証明書の自動更新を有効にする方法

Mac のターミナルで以下のコマンドを入力します。

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

自動更新を無効にするには、このコマンドの YES の部分を NO に書き換えます。適格な証明書の自動更新を構成プロファイルを使って有効にするには、デバイスプロファイルを使い、com.apple.mdmclient domain ドメインで AutoRenewCertificatesEnabledTrue に設定します*。

macOS 10.13.4 システムでは、"EnableAutoRenewal" キー (ブール型) を Active Directory 証明書ペイロードに追加して、証明書を自動更新すべきかどうかを指定します。

* AutoRenewCertificatesEnabled キーが指定されていて、設定値が FALSE の場合、証明書ペイロードの EnableAutoRenewal キーにかかわらず、自動更新は行われません。

関連情報

自動更新される証明書は、システム環境設定の「プロファイル」パネルや profiles -W コマンドを使うなど、手動では更新できません。自動更新は、システム環境設定の「プロファイル」パネルに「アップデート」ボタンが表示されるタイミング、またはユーザに証明書の期限が切れることを知らせる通知を送信するタイミングと同じスケジュールで実施されます。更新できなかった場合、以下のようにスケジュールを変えて再試行されます。

  • サーバに接続できなかったために更新が失敗した場合は、1 時間おきに、またはネットワークに変化があったタイミングで再試行されます。
  • サーバに接続した後で更新が失敗した場合は、何回も試行して失敗するとユーザのアカウントがロックされてしまうため、それを避けるため、24 時間おきに再試行されます。Mac を再起動しても、このスケジュールに影響はありません。
公開日: