自动续订通过配置描述文件交付的证书

从 macOS Sierra 10.12.4 开始,管理员可以设置一项系统偏好设置,以便对作为设备描述文件的一部分交付且符合条件的证书启用自动续订。 

了解哪些证书符合自动续订的条件

只有作为设备描述文件的一部分交付的 ADCertificate 才符合自动续订的条件。

以下证书不符合条件,它们必须手动续订:

  • 作为用户描述文件的一部分交付的 ADCertificate 有效负载
  • 作为任何类型的 SCEP 有效负载的一部分交付的证书
  • 作为包含移动设备管理 (MDM) 有效负载的描述文件的一部分交付的证书
  • 作为无线 (OTA) 注册描述文件的一部分交付的证书

启用或停用符合条件的证书的自动续订

在 macOS High Sierra 10.13.4 或更高版本中,符合条件的证书会自动续订。如果您不希望有效负载中的证书自动续订,则可以添加一个值为 FALSE 的“EnableAutoRenewal”键(布尔值)。

或者,要针对所有有效负载停用自动证书续订,请在 Mac 上的“终端”中输入以下命令:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

要在 macOS Sierra 10.12.4 至 macOS High Sierra 10.13.3 中启用自动下载,请在“终端”中输入以下命令:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

进一步了解

会自动续订的证书无法通过手动方式来续订,包括无法在“描述文件”偏好设置中或使用 profiles -W 命令进行手动续订。自动续订所基于的时间表与确定什么时候在“描述文件”偏好设置中显示“更新”按钮或什么时候向用户发送证书到期通知的时间表相同。如果续订失败,系统会按照下面的固定时间表重试:

  • 如果续订因无法联系服务器而失败,系统会每小时重试一次,或在发生网络转换时重试。
  • 如果续订是在与服务器取得联系后失败的,系统会每 24 小时重试一次,以确保用户帐户不会因多次尝试失败而被锁定。重新启动 Mac 不会对这个时间表造成影响。
发布日期: