Ρυθμίσεις φορτίου MDM «Διαφάνεια πιστοποιητικού» για συσκευές Apple
Χρησιμοποιήστε το φορτίο «Διαφάνεια πιστοποιητικού» για να ελέγξετε τη συμπεριφορά της επιβολής Διαφάνειας πιστοποιητικού σε συσκευές iPhone, iPad, Mac ή Apple TV. Αυτό το προσαρμοσμένο φορτίο δεν απαιτεί MDM ή να εμφανίζεται ο σειριακός αριθμός της συσκευής στο Apple School Manager, το Apple Business Manager ή το Apple Business Essentials.
Τα iOS, iPadOS, macOS, tvOS, watchOS 10 και visionOS 1.1 έχουν απαιτήσεις Διαφάνειας πιστοποιητικού προκειμένου να είναι αξιόπιστα τα πιστοποιητικά TLS. Η Διαφάνεια πιστοποιητικού περιλαμβάνει την υποβολή του δημόσιου πιστοποιητικού του διακομιστή σας σε ένα αρχείο καταγραφής που διατίθεται στο κοινό. Αν χρησιμοποιείτε πιστοποιητικά για εσωτερικούς μόνο διακομιστές, ίσως να μην είστε σε θέση να προβάλετε αυτούς τους διακομιστές, και έτσι δεν θα έχετε τη δυνατότητα να χρησιμοποιήσετε τη Διαφάνεια πιστοποιητικού. Ως αποτέλεσμα, λόγω των απαιτήσεων Διαφάνειας πιστοποιητικού, θα προκληθούν αποτυχίες αξιοπιστίας πιστοποιητικών για τους χρήστες σας.
Αυτό το φορτίο επιτρέπει στους διαχειριστές συσκευών να μειώνουν επιλεκτικά τις απαιτήσεις Διαφάνειας πιστοποιητικού για εσωτερικούς τομείς και διακομιστές ώστε να αποφεύγονται αυτές οι αποτυχίες αξιοπιστίας σε συσκευές που επικοινωνούν με τους εσωτερικούς διακομιστές.
Το φορτίο «Διαφάνεια πιστοποιητικού» υποστηρίζει τα εξής. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Πληροφορίες φορτίου.
Υποστηριζόμενο αναγνωριστικό φορτίου: com.apple.security.certificatetransparency
Υποστηριζόμενα λειτουργικά συστήματα και κανάλια: iOS, iPadOS, συσκευή Κοινόχρηστου iPad, συσκευή macOS, tvOS, watchOS 10, visionOS 1.1.
Υποστηριζόμενοι τύποι εγγραφής: Εγγραφή χρήστη, Εγγραφή συσκευής, Αυτοματοποιημένη εγγραφή συσκευής.
Επιτρέπονται διπλότυπα: Αληθής – περισσότερα από ένα φορτία «Διαφάνεια πιστοποιητικού» μπορούν να παραδοθούν σε μια συσκευή.
Άρθρο της Υποστήριξης Apple: Πολιτική διαφάνειας πιστοποιητικών της Apple
Πολιτική Διαφάνειας πιστοποιητικού στον ιστότοπο του έργου Chromium
Μπορείτε να χρησιμοποιήσετε τις ρυθμίσεις στον παρακάτω πίνακα με το φορτίο «Διαφάνεια πιστοποιητικού».
Ρύθμιση | Περιγραφή | Απαιτείται | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Ενεργοποιήστε αυτήν την επιλογή για να επιτρέπονται τα ιδιωτικά, μη αξιόπιστα πιστοποιητικά, απενεργοποιώντας την επιβολή Διαφάνειας πιστοποιητικού. Τα πιστοποιητικά που θα απενεργοποιηθούν πρέπει να περιέχουν (1) τον αλγόριθμο που χρησιμοποιήθηκε από τον εκδότη για την υπογραφή του πιστοποιητικού και (2) το δημόσιο κλειδί που συσχετίζεται με την ταυτότητα για την οποία εκδόθηκε το πιστοποιητικό. Για τις συγκεκριμένες τιμές που χρειάζεστε, δείτε τις υπόλοιπες καταχωρίσεις αυτού του πίνακα. | Όχι. | |||||||||
Algorithm | Ο αλγόριθμος που χρησιμοποιήθηκε από τον εκδότη για την υπογραφή του πιστοποιητικού. Η τιμή πρέπει να είναι «sha256». | Ναι, αν χρησιμοποιείται η «Απενεργοποίηση επιβολής Διαφάνειας πιστοποιητικού για συγκεκριμένα πιστοποιητικά». | |||||||||
Hash of | Το δημόσιο κλειδί που συσχετίζεται με την ταυτότητα για την οποία εκδόθηκε το πιστοποιητικό. | Ναι, αν χρησιμοποιείται η «Απενεργοποίηση επιβολής Διαφάνειας πιστοποιητικού για συγκεκριμένα πιστοποιητικά». | |||||||||
Disable specific domains | Μια λίστα τομέων όπου η διαφάνεια πιστοποιητικού είναι απενεργοποιημένη. Για την αντιστοίχιση δευτερευόντων τομέων μπορεί να χρησιμοποιηθεί μια τελεία στην αρχή, αλλά ένας κανόνας αντιστοίχισης τομέων δεν πρέπει να ταιριάζει με όλους τους τομείς σε έναν τομέα ανώτατου επιπέδου. (Τα «.com» και «.co.uk» δεν επιτρέπονται, όμως επιτρέπονται τα «.betterbag.com» και «.betterbag.co.uk».) | Όχι. | |||||||||
Σημείωση: Κάθε προμηθευτής MDM υλοποιεί αυτές τις ρυθμίσεις με διαφορετικό τρόπο. Για να μάθετε πώς εφαρμόζονται διάφορες ρυθμίσεις Διαφάνειας πιστοποιητικού στις συσκευές σας, συμβουλευτείτε το πληροφοριακό υλικό του προμηθευτή MDM σας.
Πώς να δημιουργήσετε τον κατακερματισμό του subjectPublicKeyInfo
Για να απενεργοποιηθεί η επιβολή Διαφάνειας πιστοποιητικού όταν καθοριστεί αυτή η πολιτική, ο κατακερματισμός subjectPublicKeyInfo πρέπει να είναι ένα από τα εξής:
Η πρώτη μέθοδος για την απενεργοποίηση της επιβολής Διαφάνειας πιστοποιητικού |
|---|
Ένα κατακερματισμός της τιμής |
Η δεύτερη μέθοδος για την απενεργοποίηση της επιβολής Διαφάνειας πιστοποιητικού |
|---|
|
Η τρίτη μέθοδος για την απενεργοποίηση της επιβολής Διαφάνειας πιστοποιητικού |
|---|
|
Πώς να παραγάγετε τα καθορισμένα δεδομένα
Στο λεξικό subjectPublicKeyInfo, χρησιμοποιήστε τις ακόλουθες εντολές:
Κωδικοποιημένο πιστοποιητικό PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Κωδικοποιημένο πιστοποιητικό DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Αν το πιστοποιητικό σας δεν έχει επέκταση .pem ή .der, χρησιμοποιήστε τις ακόλουθες εντολές αρχείων για να προσδιορίσετε τον τύπο κωδικοποίησής του:
file example_certificate.crtfile example_certificate.cer
Για να δείτε ένα πλήρες παράδειγμα αυτού του προσαρμοσμένου φορτίου, δείτε το παράδειγμα προσαρμοσμένου φορτίου «Διαφάνεια πιστοποιητικού».