自动续订通过配置描述文件交付的证书

从 macOS Sierra 10.12.4 开始,管理员可以设置一项系统偏好设置,以便为作为设备描述文件的一部分交付且符合条件的证书启用自动续订。 

哪些证书符合自动续订的条件?

只有作为设备描述文件的一部分交付的 ADCertificate 才符合自动续订的条件。

以下证书不符合条件,它们必须手动续订:

  • 作为用户描述文件的一部分交付的 ADCertificate 有效负载
  • 作为任何类型的 SCEP 有效负载的一部分交付的证书
  • 作为包含移动设备管理 (MDM) 有效负载的描述文件的一部分交付的证书
  • 作为无线 (OTA) 注册描述文件的一部分交付的证书

如何为符合条件的证书启用自动续订

请在 Mac 上的“终端”中输入以下命令:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

要停用自动续订,请将这个命令中的 YES 改为 NO。要使用配置描述文件为符合条件的证书启用自动续订,请使用在 com.apple.mdmclient 域中将 AutoRenewCertificatesEnabled 设为 True 的设备描述文件。*

在 macOS 10.13.4 系统上,请将“EnableAutoRenewal”键值(布尔值)添加到 Active Directory 证书有效负载以指定是不是应自动续订证书。

*如果 AutoRenewCertificatesEnabled 键值存在并且已设为 FALSE,那么就算证书有效负载中存在“EnableAutoRenewal”,也不会启用自动续订。

进一步了解

会自动续订的证书无法通过手动方式来续订,包括在“描述文件”偏好设置中或使用 profiles -W 命令。进行自动续订的时间表与确定什么时候在“描述文件”偏好设置中显示“更新”按钮或什么时候向用户发送证书到期通知的时间表相同。如果续订失败,系统会按照下面的固定时间表重试:

  • 如果续订因无法联系服务器而失败,系统会每 1 小时重试一次,或在发生网络转换时重试。
  • 如果续订是在与服务器取得联系后失败的,系统会每隔 24 小时重试一次,以确保用户帐户不会因多次尝试失败而被锁定。重新启动 Mac 不会对这个时间表造成影响。
发布日期: