Certificaten die via een configuratieprofiel worden geleverd automatisch vernieuwen

Vanaf macOS Sierra 10.12.4 kunnen beheerders een systeemvoorkeur instellen waardoor automatische vernieuwing van in aanmerking komende certificaten wordt ingeschakeld wanneer deze certificaten worden geleverd als onderdeel van een apparaatprofiel. 

Welke certificaten komen in aanmerking voor automatische vernieuwing?

Alleen ADCertificates geleverd als onderdeel van een apparaatprofiel komen in aanmerking voor automatische vernieuwing.

De volgende certificaten komen niet in aanmerking en moeten handmatig worden vernieuwd:

  • ADCertificate-payloads geleverd als onderdeel van een gebruikersprofiel
  • Certificaten geleverd als onderdeel van elke SCEP-payload
  • Certificaten geleverd als onderdeel van een profiel dat een MDM-payload (mobile device management) bevat
  • Certificaten geleverd als onderdeel van een over-the-air (OTA) inschrijvingsprofiel

Automatische vernieuwing van in aanmerking komende certificaten inschakelen

Typ dit commando in Terminal op de Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Om automatische vernieuwing uit te schakelen, wijzigt u YES in NO in dit commando. Om automatische vernieuwing in te schakelen van certificaten die in aanmerking komen met behulp van een configuratieprofiel, gebruikt u een apparaatprofiel dat AutoRenewCertificatesEnabled instelt op True in het domein com.apple.mdmclient.*

Voeg in systemen met macOS 10.13.4 de sleutel 'EnableAutoRenewal' (een booleaanse waarde) toe aan de Active Directory-certificaatpayload om op te geven of het certificaat automatisch moet worden vernieuwd.

* Als de sleutel AutoRenewCertificatesEnabled reeds bestaat en is ingesteld op FALSE, dan vindt er geen automatische vernieuwing plaats, ongeacht of de sleutel 'EnableAutoRenewal' zich in de certificaatpayload bevindt.

Meer informatie

Certificaten die automatisch vernieuwen, kunnen niet handmatig worden vernieuwd, niet in de voorkeuren van profielen of met het commando profiles -W. Automatische vernieuwing vindt plaats volgens hetzelfde schema dat bepaalt wanneer de knop Werk bij in de voorkeuren van profielen wordt weergegeven, of wanneer naar de gebruiker een melding moet worden verzonden dat het certificaat verloopt. Indien vernieuwing mislukt, vinden nieuwe pogingen plaats volgens dit vaste schema:

  • Als vernieuwing mislukt omdat geen contact kon worden gemaakt met de server, vinden nieuwe pogingen plaats eenmaal per uur of elke keer dat er een netwerkovergang is.
  • Indien vernieuwing mislukt na contact te hebben gemaakt met de server, vinden vernieuwingen eenmaal per 24 uur plaats. Zo wordt ervoor gezorgd dat meerdere onsuccesvolle pogingen er niet de oorzaak van zijn dat de account van een gebruiker wordt vergrendeld. Het opnieuw opstarten van de Mac heeft geen invloed op dit schema.
Publicatiedatum: