Varmenteen läpinäkyvyyden MDM‑tietosisältöasetukset Apple-laitteille
Käytä Varmenteen läpinäkyvyys ‑tietosisältöä laitteen varmenteen läpinäkyvyyden valvonnan käyttäytymisen hallitsemiseen iPhone-, iPad-, Mac- tai Apple TV ‑laitteissa. Tämä muokattu tietosisältö ei vaadi MDM:ää tai laitteen sarjanumeron näkymistä Apple School Managerissa, Apple Business Managerissa tai Apple Business Essentialsissa.
iOS:llä, iPadOS:llä, macOS:llä, tvOS:llä, watchOS 10:llä ja visionOS 1.1:llä on vaatimuksia varmenteen läpinäkyvyydelle, jotta TLS-varmenteisiin voidaan luottaa. Varmenteen läpinäkyvyys vaatii palvelimen julkisen varmenteen viemistä julkisesti saatavilla olevaan lokiin. Jos käytät varmenteita palvelimille, jotka ovat vain sisäisiä, et ehkä voi näyttää kyseisiä palvelimia etkä siis voi käyttää varmenteen läpinäkyvyyttä. Tästä seuraa, että varmenteen läpinäkyvyyden vaatimukset aiheuttavat varmenteen luottamuksen epäonnistumisia käyttäjille.
Tämä tietosisältö sallii laitteiden ylläpitäjien alentaa valikoivasti varmenteiden läpinäkyvyyden vaatimuksia sisäisille domaineille ja palvelimille, jotta vältytään luottovirheiltä laitteissa, jotka kommunikoivat sisäisten palvelimien kanssa.
Varmenteen läpinäkyvyys ‑tietosisältö tukee seuraavia. Jos haluat lisätietoja, katso Tietosisällön tiedot.
Tuetun tietosisällön tunniste: com.apple.security.certificatetransparency
Tuetut käyttöjärjestelmät ja kanavat: iOS, iPadOS, jaettu iPad -laite, macOS-laite, tvOS, watchOS 10, visionOS 1.1.
Tuetut rekisteröintityypit: käyttäjärekisteröinti, laiterekisteröinti, automaattinen laiterekisteröinti.
Kaksoiskappaleet sallittu: Tosi – laitteelle voidaan toimittaa enemmän kuin yksi Varmenteen läpinäkyvyys ‑tietosisältö.
Applen tukiartikkeli: Applen varmenteiden läpinäkyvyyden käytäntö
Certificate Transparency policy Chromium Project -sivustolla
Voit käyttää Varmenteen läpinäkyvyys ‑tietosisällön kanssa alla olevan taulukon asetuksia.
Asetus | Kuvaus | Vaaditaan | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Valitsemalla tämän vaihtoehdon sallit yksityiset, ei-luotetut varmenteet poistamalla varmenteiden läpinäkyvyyden vaatimuksen. Käytöstä poistettavissa varmenteissa täytyy olla (1) algoritmi, jota myöntäjä käytti varmenteen allekirjoittamiseen ja (2) julkinen avain, joka liittyy siihen identiteettiin, jolle varmenne myönnettiin. Katso tästä taulukosta tarvitsemasi arvot. | Ei. | |||||||||
Algorithm | Algoritmi, jota myöntäjä käytti varmenteen allekirjoittamiseen. Arvon pitää olla “sha256“. | Kyllä, jos ”Disable Certificate Transparency enforcement for specific certificates” on käytössä. | |||||||||
Hash of | Julkinen avain, johon identiteetin saanut varmenne on liitetty. | Kyllä, jos ”Disable Certificate Transparency enforcement for specific certificates” on käytössä. | |||||||||
Disable specific domains | Luettelo domaineista, joissa varmenteen läpinäkyvyys ei ole käytössä. Edeltävää pistettä voidaan käyttää alidomainien kohdistamiseen, mutta domainin kohdistamissääntö ei saa vastata kaikkia ylätason domainin domaineja. (”.com” ja ”.co.uk” eivät ole sallittuja, mutta ”.betterbag.com” ja ”.betterbag.co.uk” ovat sallittuja.) | Ei. | |||||||||
Huomaa: Kukin MDM-toimittaja toteuttaa näitä asetuksia omalla tavallaan. Jos haluat tietää, miten Varmenteen läpinäkyvyys ‑asetuksia käytetään laitteillesi, tutustu MDM-toimittajasi dokumentaatioon.
subjectPublicKeyInfon hajautuksen luominen
Jotta varmenteen läpinäkyvyyden pakottaminen voidaan ottaa pois päältä tätä käytäntöä käyttöönotettaessa, subjectPublicKeyInfo-hajautuksen täytyy olla jokin seuraavista:
Ensimmäinen tapa, jolla varmenteen läpinäkyvyyden valvonta voidaan poistaa käytöstä |
|---|
Hajautus palvelimen käyttäjävarmenteen |
Toinen tapa, jolla varmenteen läpinäkyvyyden valvonta voidaan poistaa käytöstä |
|---|
|
Kolmas tapa, jolla varmenteen läpinäkyvyyden valvonta voidaan poistaa käytöstä |
|---|
|
Määritetyn datan luominen
Käytä subjectPublicKeyInfo-kirjastossa seuraavia komentoja:
PEM-koodattu varmenne:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER-koodattu varmenne:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Jos varmenteessasi ei ole .pem- tai .der-tarkennetta, käytä seuraavia tiedostokomentoja sen koodaustyypin tunnistamiseen:
tiedosto example_certificate.crttiedosto example_certificate.cer
Jos haluat nähdä kattavan esimerkin muokatusta tietosisällöstä, katso Esimerkki läpinäkyvän varmenteen muokatusta tietosisällöstä.