Renovar automaticamente certificados distribuídos por meio de um perfil de configuração

Do macOS Sierra 10.12.4 em diante, os administradores podem definir uma preferência do sistema que permite a renovação automática de certificados qualificados quando eles são distribuídos como parte do perfil de um dispositivo. 

Veja quais certificados são qualificados para renovação automática

Somente ADCertificates distribuídos como parte de um perfil de dispositivo são qualificados para renovação automática.

Os certificados abaixo não são qualificados e devem ser renovados manualmente:

  • Dados do ADCertificate distribuídos como parte de um perfil de usuário
  • Certificados distribuídos como parte de dados do SCEP de qualquer tipo
  • Certificados distribuídos como parte de um perfil que contém dados de gerenciamento de dispositivos móveis (MDM)
  • Certificados distribuídos como parte de um perfil de registro remoto

Ativar ou desativar a renovação automática de certificados qualificados

No macOS High Sierra 10.13.4 ou posterior, os certificados qualificados são renovados automaticamente. Caso não queria que o certificado em um conteúdo seja renovado automaticamente, você pode adicionar uma chave "EnableAutoRenewal" (booliana) com o valor FALSE.

Ou, para desativar a renovação automática de todo o conteúdo, insira esse comando no Terminal no Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Para ativar os downloads automáticos do macOS Sierra 10.12.4 ao macOS High Sierra 10.13.3, insira este comando no Terminal:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Saiba mais

Não é possível renovar manualmente certificados com renovação automática, inclusive nas preferências Perfis ou usando o comando profiles -W. A renovação automática ocorre no mesmo cronograma que determina quando exibir o botão Atualizar nas preferências Perfis ou quando enviar ao usuário uma notificação de que o certificado está expirando. Se houver falha na renovação, novas tentativas serão feitas de acordo com este cronograma fixo:

  • Se houver falha na renovação porque não foi possível entrar em contato com o servidor, novas tentativas serão feitas uma vez por hora ou sempre que houver uma transição de rede.
  • Se houver falha na renovação após o contato com o servidor, novas tentativas serão feitas a cada 24 horas, para que várias tentativas malsucedidas não bloqueiem a conta do usuário. A inicialização do Mac não afeta essa programação.
Data da publicação: