Certificaten die via een configuratieprofiel worden geleverd automatisch vernieuwen

Vanaf macOS Sierra 10.12.4 kunnen beheerders een systeemvoorkeur instellen waardoor automatische vernieuwing van in aanmerking komende certificaten wordt ingeschakeld wanneer deze certificaten worden geleverd als onderdeel van een apparaatprofiel. 

Controleren welke certificaten in aanmerking komen voor automatische vernieuwing

Alleen ADCertificates die zijn geleverd als onderdeel van een apparaatprofiel, komen in aanmerking voor automatische vernieuwing.

De volgende certificaten komen niet in aanmerking en moeten handmatig worden vernieuwd:

  • ADCertificate-payloads die zijn geleverd als onderdeel van een gebruikersprofiel
  • Certificaten die zijn geleverd als onderdeel van elke SCEP-payload
  • Certificaten die zijn geleverd als onderdeel van een profiel dat een MDM-payload (mobile device management) bevat
  • Certificaten die zijn geleverd als onderdeel van een OTA-inschrijvingsprofiel (over-the-air)

Automatische vernieuwing van in aanmerking komende certificaten in- of uitschakelen

In macOS High Sierra 10.13.4 of hoger worden in aanmerking komende certificaten automatisch vernieuwd. Als u niet wilt dat het certificaat in een payload automatisch wordt vernieuwd, kunt u een 'EnableAutoRenewal'-sleutel (Booleaans) toevoegen en deze instellen op 'FALSE'.

Als u automatische vernieuwing van certificaten voor alle payloads wilt uitschakelen, kunt u het volgende commando invoeren in Terminal op de Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Als u automatische downloads wilt inschakelen in macOS Sierra 10.12.4 t/m macOS High Sierra 10.13.3, voert u in Terminal het volgende commando in:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Meer informatie

Certificaten die automatisch worden vernieuwd, kunnen niet handmatig worden vernieuwd, noch in de voorkeuren van profielen noch met het commando profiles -W. Automatische vernieuwing vindt plaats volgens hetzelfde schema dat bepaalt wanneer de knop 'Werk bij' in de voorkeuren van profielen wordt weergegeven, of wanneer naar de gebruiker een melding moet worden verstuurd dat het certificaat verloopt. Als vernieuwing mislukt, vinden nieuwe pogingen plaats volgens dit vaste schema:

  • Als vernieuwing mislukt omdat geen contact kan worden gemaakt met de server, vinden nieuwe pogingen eenmaal per uur plaats of telkens wanneer er een netwerkovergang plaatvindt.
  • Als vernieuwing mislukt na contact te hebben gemaakt met de server, vinden nieuwe pogingen hiertoe eenmaal per 24 uur plaats. Zo wordt voorkomen dat meerdere onsuccesvolle pogingen ertoe leiden dat de account van een gebruiker wordt vergrendeld. Herstarten van de Mac heeft geen invloed op dit schema.
Publicatiedatum: