Автоматическое возобновление действия сертификатов, передаваемых посредством профиля конфигурации
Начиная с macOS Ventura, администраторы могут настраивать параметры системы, обеспечивающие автоматическое возобновление правомочных сертификатов, предоставляемых в составе профиля устройства.
Сертификаты, правомочные для автоматического возобновления
Для автоматического возобновления правомочны только сертификаты ADCertificate, передаваемые в составе профиля устройства.
Следующие сертификаты неправомочны и требуют возобновления вручную:
Полезные нагрузки ADCertificate, передаваемые в составе пользовательского профиля.
Сертификаты, входящие в полезную нагрузку SCEP любого типа.
Сертификаты, передаваемые в составе профиля, содержащего полезную нагрузку MDM (управление мобильными устройствами).
Сертификаты, передаваемые в составе профиля регистрации OTA (over-the-air — по беспроводной связи).
Отключение автоматического обновления правомочных сертификатов
В macOS Ventura и более поздних версий правомочные сертификаты обновляются автоматически. Если автоматическое возобновление определенного сертификата в полезной нагрузке нежелательно, можно добавить логический параметр EnableAutoRenewal со значением FALSE.
Чтобы отключить автоматическое возобновление сертификатов для всей полезной нагрузки, введите в программе «Терминал» на компьютере Mac следующую команду:
sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO
Дополнительная информация
Автоматически возобновляемые сертификаты не могут возобновляться вручную, в том числе посредством настроек Профилей или с помощью команды profiles -W
Автоматическое возобновление происходит по тому же графику, который определяет, когда показать кнопку обновления в настройках Профилей или когда отправить пользователю уведомление о том, что срок действия сертификата истекает. Если при возобновлении произойдет ошибка, дальнейшие попытки будут предприниматься по следующему фиксированному графику:
При сбое возобновления по причине неуспешной связи с сервером дальнейшие попытки будут происходить каждый час или при любом изменении сети.
При сбое возобновления после установления связи с сервером дальнейшие попытки будут происходить каждые 24 часа, чтобы учетная запись пользователя не оказалась заблокирована по причине многочисленных неудачных попыток. Перезапуск компьютера Mac никак не отражается на этом графике.