Automatyczne odnawianie certyfikatów dostarczonych przez profil konfiguracji

Począwszy od systemu macOS Ventura, administratorzy mogą ustawić preferencję systemu, która włącza automatyczne odnowienie certyfikatów spełniających kryteria, gdy są one dostarczane jako część profilu urządzenia.

Sprawdź, które certyfikaty spełniają kryteria automatycznego odnawiania

Tylko certyfikaty ADCertificates dołączone jako część profilu urządzenia mogą być odnawiane automatycznie.

Poniższe certyfikaty nie spełniają kryteriów automatycznego odnawiania:

  • Pakiet danych certyfikatu ADCertificate, będący częścią profilu użytkownika

  • Certyfikaty będące częścią jakiegokolwiek pakietu danych SCEP

  • Certyfikaty będące częścią profilu, który zawiera pakiet danych MDM

  • Certyfikaty będące częścią profilu rejestracji OTA

Wyłączenie automatycznego odnawiania certyfikatów spełniających kryteria

W systemie macOS Ventura i nowszych certyfikaty spełniające kryteria odnawiają się automatycznie. Jeśli nie chcesz, aby certyfikat w pakiecie danych odnawiał się automatycznie, możesz dodać klucz „EnableAutoRenewal” (boolean) z wartością FALSE.

Aby wyłączyć automatyczne odnawianie certyfikatu dla wszystkich pakietów danych, możesz też wprowadzić następujące polecenie w aplikacji Terminal na komputerze Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Więcej informacji

Certyfikatów, które odnawiają się automatycznie, nie można odnawiać ręcznie, także w preferencjach Profile czy przy użyciu polecenia profiles -W Automatyczne odnawianie odbywa się zgodnie z tym samym harmonogramem, który określa, kiedy w preferencjach Profile pojawia się przycisk Uaktualnij i kiedy do użytkownika przesyłane jest powiadomienie o zbliżającej się dacie wygaśnięcia certyfikatu. Jeśli proces odnawiania certyfikatu zakończy się niepowodzeniem, ponowne próby będą miały miejsce zgodnie z następującym harmonogramem:

  • Jeżeli odnowienie nie powiedzie się z powodu braku łączności z serwerem, system będzie podejmował próby co godzinę lub przy każdej zmianie przejścia sieci.

  • Jeśli odnowienie nie powiedzie się po nawiązaniu połączenia z serwerem, ponowne próby będą podejmowane co 24 godziny przy zapewnieniu, że wielokrotne nieudane próby nie spowodują zablokowania konta użytkownika. Ponowne uruchomienie komputera Mac nie ma wpływu na powyższy harmonogram.

Data publikacji: