Renouvellement automatique des certificats issus d’un profil de configuration

À partir de macOS Ventura, les administrateurs peuvent définir une préférence système qui permet le renouvellement automatique des certificats éligibles lorsque ces derniers sont fournis dans le cadre d’un profil d’appareil.

Les certificats éligibles au renouvellement automatique

Seuls les ADCertificates fournis dans le cadre d’un profil d’appareil sont éligibles au renouvellement automatique.

Les certificats suivants ne sont pas éligibles et doivent être renouvelés manuellement :

  • Entités ADCertificate faisant partie d’un profil d’utilisateur

  • Certificats fournis dans le cadre d’une entité SCEP de n’importe quel type

  • Certificats fournis dans le cadre d’un profil qui contient une entité de gestion des appareils mobiles (MDM)

  • Certificats fournis dans le cadre d’un profil d’inscription en mode OTA

Désactiver le renouvellement automatique des certificats éligibles

Sous macOS Ventura et versions ultérieures, les certificats éligibles sont renouvelés automatiquement. Si vous ne voulez pas que le certificat dans une entité soit renouvelé automatiquement, vous pouvez ajouter une clé (booléenne) « EnableAutoRenewal », avec une valeur de FALSE.

Ou, pour désactiver le renouvellement automatique des certificats pour toutes les entités, saisissez cette commande dans Terminal sur votre Mac :

sudo defaults write /Library/Preferences/com.apple.mdmclient AutoRenewCertificatesEnabled -bool NO

Informations supplémentaires

Les certificats qui se renouvellent automatiquement ne peuvent pas être renouvelés manuellement, notamment dans les préférences Profils ou en utilisant la commande profiles -W Le renouvellement automatique suit le même programme que celui qui détermine le moment où le bouton de mise à jour s’affiche dans les préférences Profils, ou quand envoyer une notification à l’utilisateur pour lui indiquer que le certificat est sur le point d’expirer. Si le renouvellement échoue, de nouvelles tentatives sont effectuées selon le programme prédéterminé suivant :

  • Si le renouvellement échoue parce que le contact n’a pas pu être établi avec le serveur, une nouvelle tentative est effectuée chaque heure ou lorsqu’une transition de réseau est réalisée.

  • Si le renouvellement échoue après avoir contacté le serveur, une nouvelle tentative est effectuée toutes les 24 heures, afin de s’assurer que les diverses tentatives infructueuses n’entraînent pas le verrouillage du compte de l’utilisateur. Redémarrer votre Mac n’a aucun effet sur ce programme.

Date de publication: