Renovar automaticamente certificados distribuídos através de um perfil de configuração
A partir do macOS Ventura, os administradores podem definir uma preferência do sistema que permite a renovação automática de certificados elegíveis quando os certificados são distribuídos através de um perfil de dispositivo.
Ver quais os certificados elegíveis para a renovação automática
Apenas os ADCertificates distribuídos como parte de um perfil de dispositivo são elegíveis para a renovação automática.
Os seguintes certificados não são elegíveis e têm de ser renovados de forma manual:
Entidades de ADCertificate distribuídas como parte de um perfil de utilizador
Certificados distribuídos como parte de uma entidade de SCEP de qualquer tipo
Certificados distribuídos como parte de um perfil que contenha uma entidade de Gestão de dispositivos móveis (MDM)
Certificados distribuídos como parte de um perfil de registo over-the-air (OTA)
Desativar a renovação automática de certificados elegíveis
No macOS Ventura e posterior, os certificados elegíveis são renovados automaticamente. Se não pretender que o certificado numa entidade seja renovado automaticamente, pode adicionar a chave "EnableAutoRenewal" (booleano), com um valor de FALSE.
Também pode introduzir este comando no Terminal no Mac para desativar a renovação automática de certificados de todas as entidades:
sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO
Mais informações
Os certificados renovados automaticamente não podem ser renovados manualmente, incluindo nas preferências dos Perfis ou através do comando profiles -W
A renovação automática ocorre no mesmo horário que determina quando mostrar o botão Atualizar nas preferências dos Perfis ou quando enviar uma notificação ao utilizador a informar que o certificado está prestes a expirar. Se a renovação falhar, ocorrem tentativas neste horário fixo:
Se a renovação falhar por não ter sido possível contactar o servidor, as tentativas ocorrem uma vez por hora ou sempre que houver transição de rede.
Se a renovação falhar depois de o servidor ter sido contactado, as tentativas ocorrem uma vez a cada 24 horas, garantindo assim que várias tentativas falhadas não bloqueiam a conta de utilizador. Reiniciar o Mac não afeta este horário.