Автоматическое возобновление действия сертификатов, передаваемых посредством профиля конфигурации

Начиная с macOS Ventura, администраторы могут настраивать параметры системы, обеспечивающие автоматическое возобновление правомочных сертификатов, предоставляемых в составе профиля устройства.

Сертификаты, правомочные для автоматического возобновления

Для автоматического возобновления правомочны только сертификаты ADCertificate, передаваемые в составе профиля устройства.

Следующие сертификаты неправомочны и требуют возобновления вручную:

  • Полезные нагрузки ADCertificate, передаваемые в составе пользовательского профиля.

  • Сертификаты, входящие в полезную нагрузку SCEP любого типа.

  • Сертификаты, передаваемые в составе профиля, содержащего полезную нагрузку MDM (управление мобильными устройствами).

  • Сертификаты, передаваемые в составе профиля регистрации OTA (over-the-air — по беспроводной связи).

Отключение автоматического обновления правомочных сертификатов

В macOS Ventura и более поздних версий правомочные сертификаты обновляются автоматически. Если автоматическое возобновление определенного сертификата в полезной нагрузке нежелательно, можно добавить логический параметр EnableAutoRenewal со значением FALSE.

Чтобы отключить автоматическое возобновление сертификатов для всей полезной нагрузки, введите в программе «Терминал» на компьютере Mac следующую команду:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Дополнительная информация

Автоматически возобновляемые сертификаты не могут возобновляться вручную, в том числе посредством настроек Профилей или с помощью команды profiles -W Автоматическое возобновление происходит по тому же графику, который определяет, когда показать кнопку обновления в настройках Профилей или когда отправить пользователю уведомление о том, что срок действия сертификата истекает. Если при возобновлении произойдет ошибка, дальнейшие попытки будут предприниматься по следующему фиксированному графику:

  • При сбое возобновления по причине неуспешной связи с сервером дальнейшие попытки будут происходить каждый час или при любом изменении сети.

  • При сбое возобновления после установления связи с сервером дальнейшие попытки будут происходить каждые 24 часа, чтобы учетная запись пользователя не оказалась заблокирована по причине многочисленных неудачных попыток. Перезапуск компьютера Mac никак не отражается на этом графике.

Дата публикации: