Monday, February 28, 2022

Über ein Konfigurationsprofil bereitgestellte Zertifikate automatisch erneuern

Über ein Konfigurationsprofil bereitgestellte Zertifikate automatisch erneuern

Ab macOS Sierra 10.12.4 können Administratoren eine Systemeinstellung festlegen, die die automatische Erneuerung geeigneter Zertifikate aktiviert, wenn die Zertifikate als Teil eines Geräteprofils bereitgestellt werden.

Sehen Sie, welche Zertifikate zur automatischen Verlängerung berechtigt sind

Nur ADC-Zertifikate, die als Teil eines Geräteprofils geliefert werden, können automatisch verlängert werden.

Die folgenden Zertifikate sind nicht berechtigt und müssen manuell verlängert werden:

  • ADCertificate-Payloads, die als Teil eines Benutzerprofils bereitgestellt werden
  • Zertifikate, die als Teil einer beliebigen SCEP-Nutzlast bereitgestellt werden
  • Zertifikate, die als Teil eines Profils bereitgestellt werden, das eine Mobile Device Management (MDM)-Payload enthält
  • Zertifikate, die als Teil eines OTA-Registrierungsprofils (Over-the-Air) bereitgestellt werden

Aktivieren oder deaktivieren Sie die automatische Verlängerung berechtigter Zertifikate

In macOS High Sierra 10.13.4 oder höher werden berechtigte Zertifikate automatisch verlängert. Wenn Sie nicht möchten, dass das Zertifikat in einer Nutzlast automatisch erneuert wird, können Sie einen „EnableAutoRenewal"-Schlüssel (boolesch) mit dem Wert FALSE hinzufügen.

Oder um die automatische Zertifikatserneuerung für alle Payloads zu deaktivieren, geben Sie diesen Befehl im Terminal auf Ihrem Mac ein:

  sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO  

Um automatische Downloads in macOS Sierra 10.12.4 bis macOS High Sierra 10.13.3 zu aktivieren, geben Sie diesen Befehl im Terminal ein:

  sudo schreibt standardmäßig /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool YES  

Mehr erfahren

Zertifikate, die sich automatisch erneuern, können nicht manuell erneuert werden, auch nicht in den Profileinstellungen oder mit dem Befehl profiles -W . Die automatische Verlängerung erfolgt nach demselben Zeitplan, der bestimmt, wann die Schaltfläche „Aktualisieren" in den Profileinstellungen angezeigt wird oder wann dem Benutzer eine Benachrichtigung gesendet wird, dass das Zertifikat abläuft. Wenn die Verlängerung fehlschlägt, werden Wiederholungsversuche nach diesem festen Zeitplan durchgeführt:

  • Wenn die Erneuerung fehlschlägt, weil der Server nicht kontaktiert werden konnte, werden die Versuche einmal pro Stunde oder bei jedem Netzwerkwechsel wiederholt.
  • Wenn die Erneuerung nach dem Kontaktieren des Servers fehlschlägt, werden alle 24 Stunden Wiederholungen durchgeführt, um sicherzustellen, dass mehrere erfolglose Versuche nicht dazu führen, dass das Konto eines Benutzers gesperrt wird. Ein Neustart des Mac wirkt sich nicht auf diesen Zeitplan aus.

No comments:

Post a Comment