Indstillinger til MDM-data i Certificate Transparency (certifikatgennemsigtighed) til Apple-enheder
Brug dataene i Certificate Transparency (certifikatgennemsigtighed) til at styre virkemåden for håndhævelse af certifikatgennemsigtighed på iPhone-, iPad-, Mac- eller Apple TV-enheder. Disse specielle data kræver ikke, at MDM eller serienummeret vises i Apple School Manager, Apple Business Manager eller Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 og visionOS 1.1 krav til certifikatgennemsigtighed, for at TLS-certifikater kan godkendes. Certifikatgennemsigtighed indebærer at indsende en servers offentlige certifikat til et logarkiv, der er tilgængeligt for offentligheden. Hvis du bruger certifikater til servere, der kun bruges internt, kan du muligvis ikke se disse servere og dermed ikke bruge certifikatgennemsigtighed. Det betyder, at kravene til Certificate Transparency forårsager fejl i certifikatgodkendelse for dine brugere.
Disse data gør det muligt for administratorer at sænke kravene til certifikatgennemsigtighed selektivt for interne domæner og servere for at undgå disse godkendelsesfejl på enheder, der kommunikerer med de interne servere.
Dataene i Certificate Transparency (certifikatgennemsigtighed) understøtter følgende. Du kan få flere oplysninger i Dataoplysninger.
Understøttet data-id: com.apple.security.certificatetransparency
Understøttede operativsystemer og kanaler: iOS, iPadOS, Delt iPad-enhed, macOS-enhed, tvOS, watchOS 10, visionOS 1.1.
Understøttede tilmeldingstyper: Brugertilmelding, enhedstilmelding, automatisk enhedstilmelding.
Dubletter tilladt: Sand – der kan leveres mere end ét hold data i Certificate Transparency (certifikatgennemsigtighed) til en enhed.
Apple-supportartikel: Apples politik for certifikatgennemsigtighed
Politik om certifikatgennemsigtighed på webstedet for Chromium Project
Du kan bruge indstillingerne i nedenstående tabel med data i Certificate Transparency (certifikatgennemsigtighed).
Indstilling | Beskrivelse | Obligatorisk | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Slå håndhævelser af certifikatgennemsigtighed fra for bestemte certifikater | Vælg denne mulighed for at tillade private, ikke-godkendte certifikater ved at slå håndhævelse af certifikatgennemsigtighed fra. Certifikaterne, der skal slås fra, skal indeholde (1) algoritmen, der blev brugt af udstederen til at signere certifikatet, og (2) den offentlige nøgle, der hører til den identitet, certifikatet er udstedt til. Se resten af tabellen for at finde de værdier, du har brug for. | Nej. | |||||||||
Algoritme | Algoritmen, der blev brugt af udstederen til at signere certifikatet. Værdien skal være “sha256”. | Ja, hvis håndhævelse af certifikatgennemsigtighed for bestemte certifikater er slået fra. | |||||||||
Hash-værdi for | Den offentlige nøgle, der hører til den identitet, certifikatet er udstedt til. | Ja, hvis håndhævelse af certifikatgennemsigtighed for bestemte certifikater er slået fra. | |||||||||
Slå specifikke domæner fra | En liste med domæner, hvor certifikatgennemsigtighed er slået fra. Et punktum foran navnet kan bruges til at matche subdomæner, men en regel til at matche domæner må ikke matche alle domæner i et domæne på øverste niveau. (“.com” og “.co.uk” er ikke tilladt, men “.betterbag.com” og “.betterbag.co.uk” er tilladt). | Nej. |
Bemærk: De enkelte MDM-leverandører implementerer disse indstillinger forskelligt. Du kan se, hvordan indstillingerne for Certificate Transparency (certifikatgennemsigtighed) anvendes til dine enheder, i dokumentationen fra din MDM-leverandør.
Sådan opretter du hash-værdien for subjectPublicKeyInfo
Hash-værdien for subjectPublicKeyInfo
skal være en af følgende, for at håndhævelsen af certifikatgennemsigtighed slås fra, når denne politik er indstillet:
Den første metode til at slå håndhævelse af certifikatgennemsigtighed fra |
---|
En hash-værdi af serverbladcertifikatets |
Den anden metode til at slå håndhævelse af certifikatgennemsigtighed fra |
---|
|
Den tredje metode til at slå håndhævelse af certifikatgennemsigtighed fra |
---|
|
Sådan opretter du de anførte data
Brug følgende kommandoer i subjectPublicKeyInfo
-ordbogen:
PEM-kodet certifikat:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
DER-kodet certifikat:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Hvis dit certifikat ikke har endelsen .pem eller .der, kan du bruge de følgende arkivkommandoer til at identificere kodningstypen:
file example_certificate.crt
file example_certificate.cer
Du kan se et komplet eksempel på disse specielle data i Eksempel på specielle data til certifikatgennemsigtighed.