自動更新透過設定描述檔認證的憑證信任

由 macOS Sierra 10.12.4 開始,管理員可以建立系統偏好設定,在憑證作為裝置描述檔認證時允許認可憑證自動更新。 

哪種憑證適用於自動更新?

只有 ADCertificates 作為裝置描述檔認證之一部分時才可自動更新。

以下憑證不適用於自動更新,且必須手動更新:

  • 作為使用者描述檔認證之一部分的 ADCertificates 承載資料
  • 作為任何類型 SCEP 承載資料認證之一部分的憑證
  • 作為含有流動裝置管理 (MDM) 承載資料認證之一部分的憑證
  • 作為空間下載 (OTA) 描述檔認證之一部分的憑證

如何啟動認可憑證自動更新

在 Mac 的「終端」上執行此指令:

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES

要停用自動更新,將指令中的 YES 改成 NO。要透過設定描述檔啟動認可憑證的自動更新,您要使用在 com.apple.mdmclient 域中將 AutoRenewCertificatesEnabled 設定為 True 的裝置描述檔。

在 macOS 10.13.4 系統中,在 active directory 憑證承載資料中加入「EnableAutoRenewal」碼(布林碼)以指定憑證是否需要自動更新。

* 如果 AutoRenewalCertificatesEnabled 碼已經存在並設定成 FALSE,則無論 EnableAutoRenewal 碼是否在特定憑證承載資料中,均不會啟動自動更新。

了解詳情

自動更新的憑證不能手動更新,包括描述檔設定的偏好設定,或以 profiles-W 設定的指令。自動更新將與描述檔偏好設定中決定更新按鈕出現時間或發送憑證逾期通知時間的時間表一樣。如果無法更新,系統將於以下固定時間重試:

  • 如果因無法連接伺服器而無法更新,系統將每小時重試一次,或在有網絡轉換時重試。
  • 如果在連接伺服器後無法更新,系統將每 24 小時重試一次,以確保多次更新失敗不會導致帳戶遭封鎖。重新啟動 Mac 不會對以上時間表構成影響。
發佈日期: