إعدادات حمولة MDM الخاصة بشفافية الشهادة على أجهزة Apple
يمكنك استخدام حمولة شفافية الشهادة للتحكم في سلوك فرض شفافية الشهادة على أجهزة iPhone أو iPad أو Mac أو Apple TV. لا تتطلب هذه الحمولة المخصصة وجود MDM أو ظهور الرقم التسلسلي للجهاز في Apple School Manager أو Apple Business Manager أو Apple Business Essentials.
يحتوي iOS و iPadOS و macOS و tvOS و watchOS 10 و visionOS 1.1 على متطلبات لشفافية الشهادة حتى يمكن الوثوق بشهادات TLS. تتضمن شفافية الشهادة تقديم شهادة الخادم العامة إلى سجل متوفر للعامة. إذا كنت تستخدم شهادات للخوادم الداخلية فقط، فقد لا تتمكن من إظهار هذه الخوادم، ومن ثم لن تتمكن من استخدام شفافية الشهادة. نتيجة لذلك، ستتسبب متطلبات شفافية الشهادة في فشل الثقة بالشهادة بالنسبة إلى المستخدمين.
تسمح هذه الحمولة لمسؤولي الأجهزة بتقليل متطلبات شفافية الشهادة على نحو انتقائي للنطاقات والخوادم الداخلية لتجنب الفشل في الوثوق على الأجهزة التي تتصل بالخوادم الداخلية.
تدعم حمولة شفافية الشهادة الآتي. لمزيد من المعلومات، انظر معلومات الحمولة.
معرِّف الحمولة المدعوم: com.apple.security.certificatetransparency
أنظمة التشغيل والقنوات المدعومة: iOS و iPadOS وجهاز iPad المشترك وجهاز macOS و tvOS و watchOS 10 و visionOS 1.1.
أنواع التسجيل المدعومة: تسجيل المستخدم، تسجيل الجهاز، تسجيل الجهاز التلقائي.
التكرارات المسموح بها: True—يمكن تسليم أكثر من حمولة شفافية شهادة واحدة إلى جهاز.
يمكنك استخدام الإعدادات الموجودة في الجدول أدناه مع حمولة شفافية الشهادة.
الإعداد | Description | مطلوب | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | حدد هذا الخيار للسماح بالشهادات الخاصة غير الموثوق فيها عن طريق تعطيل فرض شفافية الشهادة. يجب أن تحتوي الشهادات التي سيتم تعطيلها على: (1) الخوارزمية المستخدمة بواسطة جهة الإصدار لتوقيع الشهادة، (2) المفتاح العام المرتبط بالهوية التي تم إصدار الشهادة لها. لمعرفة القيم المحددة التي تحتاج إليها، انظر بقية هذا الجدول. | لا. | |||||||||
Algorithm | الخوارزمية المستخدمة بواسطة جهة الإصدار لتوقيع الشهادة. يجب أن تكون القيمة "sha256". | نعم، في حالة استخدام "Disable Certificate Transparency enforcement for specific certificates". | |||||||||
Hash of | المفتاح العام المرتبط بالهوية التي تم إصدار الشهادة لها. | نعم، في حالة استخدام "Disable Certificate Transparency enforcement for specific certificates". | |||||||||
Disable specific domains | قائمة النطاقات التي يتم تعطيل شفافية الشهادة عليها. يمكن استخدام نقطة بداية لمطابقة النطاقات الفرعية، لكن يجب ألا تتطابق قاعدة مطابقة النطاقات مع كل النطاقات الموجودة في نطاق في المستوى الأعلى. (غير مسموح بكل من ".com" و".co.uk"، ولكن مسموح بكل من ".betterbag.com" و".betterbag.co.uk") | لا. | |||||||||
ملاحظة: يطبق كل بائع MDM هذه الإعدادات بشكل مختلف. لمعرفة كيفية تطبيق إعدادات شفافية الشهادة المتعددة على أجهزتك، راجع وثائق بائع MDM.
كيفية إنشاء تجزئة subjectPublicKeyInfo
لتعطيل فرض شفافية الشهادة عند تعيين هذه السياسة، يجب أن تكون تجزئة subjectPublicKeyInfo أحد ما يلي:
الطريقة الأولى لتعطيل فرض شفافية الشهادة |
|---|
تجزئة لقيمة |
الطريقة الثانية لتعطيل فرض شفافية الشهادة |
|---|
|
الطريقة الثالثة لتعطيل فرض شفافية الشهادة |
|---|
|
كيفية إنشاء البيانات المحددة
في قاموس subjectPublicKeyInfo، استخدم الأوامر التالية:
الشهادة التي بترميز PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64الشهادة التي بترميز DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
إذا كانت الشهادة لا تحتوي على ملحق .pem أو .der، فاستخدم أمرَي الملفات التاليين للتعرّف على نوع ترميزها:
file example_certificate.crtfile example_certificate.cer
لعرض مثال كامل لهذه الحمولة المخصصة، انظر مثال لحمولة مخصصة من شفافية الشهادة.