Renovar automaticamente certificados distribuídos através de um perfil de configuração

A partir do macOS Ventura, os administradores podem definir uma preferência do sistema que permite a renovação automática de certificados elegíveis quando os certificados são distribuídos através de um perfil de dispositivo.

Ver quais os certificados elegíveis para a renovação automática

Apenas os ADCertificates distribuídos como parte de um perfil de dispositivo são elegíveis para a renovação automática.

Os seguintes certificados não são elegíveis e têm de ser renovados de forma manual:

  • Entidades de ADCertificate distribuídas como parte de um perfil de utilizador

  • Certificados distribuídos como parte de uma entidade de SCEP de qualquer tipo

  • Certificados distribuídos como parte de um perfil que contenha uma entidade de Gestão de dispositivos móveis (MDM)

  • Certificados distribuídos como parte de um perfil de registo over-the-air (OTA)

Desativar a renovação automática de certificados elegíveis

No macOS Ventura e posterior, os certificados elegíveis são renovados automaticamente. Se não pretender que o certificado numa entidade seja renovado automaticamente, pode adicionar a chave "EnableAutoRenewal" (booleano), com um valor de FALSE.

Também pode introduzir este comando no Terminal no Mac para desativar a renovação automática de certificados de todas as entidades:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Mais informações

Os certificados renovados automaticamente não podem ser renovados manualmente, incluindo nas preferências dos Perfis ou através do comando profiles -W A renovação automática ocorre no mesmo horário que determina quando mostrar o botão Atualizar nas preferências dos Perfis ou quando enviar uma notificação ao utilizador a informar que o certificado está prestes a expirar. Se a renovação falhar, ocorrem tentativas neste horário fixo:

  • Se a renovação falhar por não ter sido possível contactar o servidor, as tentativas ocorrem uma vez por hora ou sempre que houver transição de rede.

  • Se a renovação falhar depois de o servidor ter sido contactado, as tentativas ocorrem uma vez a cada 24 horas, garantindo assim que várias tentativas falhadas não bloqueiam a conta de utilizador. Reiniciar o Mac não afeta este horário.

Data de publicação: