Renovar automaticamente certificados distribuídos através de um perfil de configuração

A partir do macOS Sierra 10.12.4, os administradores podem usar um comando do Terminal para ativar a renovação automática de determinados certificados distribuídos como parte de um perfil de dispositivo. 

Quais certificados são qualificados para renovação automática?

Somente ADCertificates distribuídos como parte de um perfil de dispositivo são qualificados para renovação automática.

Os certificados a seguir não são qualificados e devem ser renovados manualmente:

  • Dados do ADCertificate distribuídos como parte de um perfil de usuário
  • Certificados distribuídos como parte de dados do SCEP de qualquer tipo
  • Certificados distribuídos como parte de um perfil que contenha dados de gerenciamento de dispositivos móveis (MDM)
  • Certificados distribuídos como parte de um perfil de registro remoto

Como ativar a renovação automática de certificados qualificados

Digite este comando no Terminal de um Mac:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

Para desativar a renovação automática, substitua YES por NO nesse comando. Para ativar a renovação automática de certificados qualificados usando um perfil de configuração, use um perfil de dispositivo que defina AutoRenewCertificatesEnabled como Verdadeiro no domínio com.apple.mdmclient.

Saiba mais

Não é possível renovar manualmente certificados com renovação automática, inclusive nas preferências Perfis ou usando o comando profiles -W. A renovação automática ocorre no mesmo horário que decide quando exibir o botão Atualizar nas preferências Perfis ou quando enviar ao usuário uma notificação de que o certificado está expirando. Se houver falha na renovação, novas tentativas serão feitas de acordo com este cronograma fixo:

  • Se houver falha na renovação porque não foi possível entrar em contato com o servidor, novas tentativas serão feitas uma vez por hora ou sempre que houver uma transição de rede.
  • Se houver falha na renovação após o contato com o servidor, novas tentativas serão feitas a cada 24 horas, para que várias tentativas malsucedidas não bloqueiem a conta do usuário. A inicialização do Mac não afeta essa programação.
Data da publicação: