Einstellungen der MDM-Payload „Zertifikatstransparenz“ für Apple-Geräte
Du kannst die Payload „Zertifikatstransparenz“ konfigurieren, um auf iPhone-, iPad-, Mac- oder Apple TV-Geräten das Verhalten zur Durchsetzung der Zertifikatstransparenz (Certificate Transparency, CT) zu steuern. Für diese spezifische Payload ist keine MDM-Lösung erforderlich und die Seriennummer des Geräts muss dafür auch nicht in Apple School Manager, Apple Business Manager oder Apple Business Essentials angezeigt werden.
iOS, iPadOS, macOS, tvOS, watchOS 10 und visionOS 1.1 besitzen neue Anforderungen hinsichtlich der Zertifikatstransparenz, damit TLS-Zertifikate als vertrauenswürdig erkannt werden. Zertifikatstransparenz bedeutet, dass das öffentliche Zertifikat deines Servers an ein Protokoll übergeben wird, das öffentlich zugänglich ist. Wenn du Zertifikate ausschließlich für interne Server verwendest, bist du unter Umständen nicht in der Lage, die Existenz dieser Server publik zu machen und kannst daher die Funktion der Zertifikatstransparenz nicht nutzen. Als Folge führen die Voraussetzungen für die Zertifikatstransparenz dazu, dass Benutzern Fehler aufgrund der fehlenden Vertrauenswürdigkeit der Zertifikate gemeldet werden.
Diese Payload bietet Geräteadministratoren die Möglichkeit, die Anforderungen für die Zertifikatstransparenz für interne Domains und Server selektiv herabzusetzen, damit es auf Geräten, die mit den internen Servern kommunizieren, nicht zu Fehlern wegen fehlender Vertrauenswürdigkeit kommt.
Die Payload „Zertifikatstransparenz“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Nicht unterstützte Payload-ID: com.apple.security.certificatetransparency
Unterstützte Betriebssysteme und Kanäle: iOS, iPadOS, Geteiltes iPad-Gerät, macOS-Gerät, tvOS, watchOS 10, visionOS 1.1.
Unterstützte Registrierungstypen: Benutzerregistrierung, Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Wahr – mehr als eine Payload „Zertifikatstransparenz“ kann an ein Gerät gesendet werden.
Apple Support-Artikel: Zertifikatstransparenz-Richtlinie von Apple
Certificate Transparency policy auf der Chromium-Project-Website
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „Zertifikatstransparenz“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Durchsetzung der Zertifikatstransparenz für bestimmte Zertifikate deaktivieren | Aktiviere diese Option, wenn private, nicht vertrauenswürdige Zertifikate zugelassen werden sollen, indem die Durchsetzung der Zertifikatstransparenz aufgehoben wird. Die Zertifikate, die deaktiviert werden sollen, müssen (1) den Algorithmus, der vom Aussteller zum Signieren des Zertifikats verwendet wurde, und (2) auch den öffentlichen Schlüssel umfassen, der der Identität zugewiesen ist, für die das Zertifikat ausgestellt ist. Die benötigten spezifischen Werte werden weiter unten in dieser Tabelle erläutert. | Nein. | |||||||||
Algorithmus | Dies ist der Algorithmus, der vom Aussteller zum Signieren des Zertifikats verwendet wurde. Dieser Wert muss „sha256“ sein. | „Ja“, wenn die Option „Durchsetzung der Zertifikatstransparenz für bestimmte Zertifikate deaktivieren“ verwendet wird. | |||||||||
Hashwert von | Dies ist der öffentliche Schlüssel, der der Identität zugewiesen ist, für die das Zertifikat ausgestellt ist. | „Ja“, wenn die Option „Durchsetzung der Zertifikatstransparenz für bestimmte Zertifikate deaktivieren“ verwendet wird. | |||||||||
Bestimmte Domains deaktivieren | Dies ist die Liste der Domains, für die die Zertifikatstransparenz deaktiviert wird. Ein Punkt am Anfang kann verwendet werden, um übereinstimmende Subdomains abzubilden; eine Regel für übereinstimmende Domains muss aber nicht zwangsläufig alle Domains innerhalb der Top-Level-Domain abbilden. („.com“ und „.co.uk“ sind nicht zulässig, „.betterbag.com“ und „.betterbag.co.uk“ hingegen schon.) | Nein. | |||||||||
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie verschiedene Einstellungen für die Zertifikatstransparenz auf Geräte angewendet werden.
Vorgehensweise zum Erstellen des Hashwerts von subjectPublicKeyInfo
Damit mit der Festlegung dieser Richtlinie die Durchsetzung der Zertifikatstransparenz deaktiviert wird, muss der Hashwert von subjectPublicKeyInfo einer der folgenden Werte sein:
Durchsetzung der Zertifikatstransparenz deaktivieren – Methode 1 |
|---|
Der Hashwert des Werts |
Durchsetzung der Zertifikatstransparenz deaktivieren – Methode 2 |
|---|
|
Durchsetzung der Zertifikatstransparenz deaktivieren – Methode 3 |
|---|
|
Vorgehensweise zum Generieren der angegebenen Daten
Führe im Dateiverzeichnis (Dictionary) subjectPublicKeyInfo die folgenden Befehle aus:
PEM-codiertes Zertifikat:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER-codiertes Zertifikat
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Falls dein Zertifikat die Erweiterung „.pem“ oder „.der“ nicht umfasst, kannst du die folgenden Dateibefehle verwenden, um dessen Codierungstyp zu identifizieren:
file example_certificate.crtfile example_certificate.cer
Ein vollständiges Beispiel dieser spezifischen Payload enthält das Beispiel für spezifische Payload „Zertifikatstransparenz“.