Certificaten die via een configuratieprofiel worden geleverd automatisch vernieuwen
Vanaf macOS Ventura kunnen beheerders een systeemvoorkeur instellen waardoor automatische vernieuwing van in aanmerking komende certificaten wordt ingeschakeld wanneer deze certificaten worden geleverd als onderdeel van een apparaatprofiel.
Controleren welke certificaten in aanmerking komen voor automatische vernieuwing
Alleen ADCertificates die zijn geleverd als onderdeel van een apparaatprofiel, komen in aanmerking voor automatische vernieuwing.
De volgende certificaten komen niet in aanmerking en moeten handmatig worden vernieuwd:
ADCertificate-payloads die zijn geleverd als onderdeel van een gebruikersprofiel
Certificaten die zijn geleverd als onderdeel van elke SCEP-payload
Certificaten die zijn geleverd als onderdeel van een profiel dat een MDM-payload (mobile device management) bevat
Certificaten die zijn geleverd als onderdeel van een OTA-inschrijvingsprofiel (over-the-air)
Automatische vernieuwing van in aanmerking komende certificaten uitschakelen
In macOS Ventura en nieuwer worden in aanmerking komende certificaten automatisch vernieuwd. Als je niet wilt dat het certificaat in een payload automatisch wordt vernieuwd, kun je een 'EnableAutoRenewal'-sleutel (Booleaans) toevoegen en deze instellen op 'FALSE'.
Als je automatische vernieuwing van certificaten voor alle payloads wilt uitschakelen, kun je het volgende commando invoeren in Terminal op de Mac:
sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO
Meer informatie
Certificaten die automatisch worden vernieuwd, kunnen niet handmatig worden vernieuwd, noch in de voorkeuren van profielen noch met het commando profiles -W Automatische vernieuwing vindt plaats volgens hetzelfde schema dat bepaalt wanneer de knop 'Werk bij' in de voorkeuren van profielen wordt weergegeven, of wanneer naar de gebruiker een melding moet worden verstuurd dat het certificaat verloopt. Als vernieuwing mislukt, vinden nieuwe pogingen plaats volgens dit vaste schema:
Als vernieuwing mislukt omdat geen contact kan worden gemaakt met de server, vinden nieuwe pogingen eenmaal per uur plaats of telkens wanneer er een netwerkovergang plaatvindt.
Als vernieuwing mislukt na contact te hebben gemaakt met de server, vinden nieuwe pogingen hiertoe eenmaal per 24 uur plaats. Zo wordt voorkomen dat meerdere onsuccesvolle pogingen ertoe leiden dat de account van een gebruiker wordt vergrendeld. Herstarten van de Mac heeft geen invloed op dit schema.
