Réglages des données utiles Certificate Transparency pour les appareils Apple
Utilisez les données utiles Certificate Transparency pour contrôler le comportement de l’application de la transparence du certificat sur un iPhone, un iPad, un Mac ou une Apple TV. Ces données utiles personnalisées ne requièrent pas de solution MDM ni d’inscription à Apple School Manager ou à Apple Business Manager.
iOS, iPadOS, macOS et tvOS ont ajouté de nouvelles exigences en matière de transparence du certificat, afin que les certificats TLS soient approuvés. Transparence du certificat implique l’envoi d’un certificat public d’un serveur vers un journal accessible au public. Une organisation qui utilise des serveurs uniquement internes peut ne pas être en mesure de révéler l’existence de ces serveurs. Ainsi, cette organisation ne sera pas en mesure d’utiliser Transparence du certificat. De même, les exigences en matière de transparence du certificat entraîneront également des échecs d’approbation pour les utilisateurs de cette organisation.
Ces données utiles permettent aux administrateurs de l’appareil de rabaisser certaines exigences en matière de Transparence du certificat pour des domaines et des serveurs internes, pour éviter les échecs d’approbation sur les appareils communiquant avec les serveurs internes. Consultez :
Règles en matière de Transparence du certificat sur le site web d’assistance Apple
Règles en matière de Transparence du certificat sur le site web Chromium Project
Système d’exploitation et canal | Types d’inscriptions prises en charge | Interaction | Doublons |
|---|---|---|---|
iOS iPadOS tvOS Appareil macOS | Utilisateur Appareil Appareil automatisé | Combinées | Multiple |
Réglage | Description | Requis |
|---|---|---|
Désactiver l’application de Transparence du certificat pour certains certificats spécifiques | Sélectionnez cette option pour autoriser des certificats privés et non approuvés en désactivant l’application de Transparence du certificat. Les certificats à désactiver doivent contenir (1) l’algorithme utilisé par l’émetteur pour signer le certificat et (2) la clé publique qui est associée à l’identité auprès de laquelle ce certificat est émis. Pour les valeurs spécifiques dont vous avez besoin, consultez le reste de ce tableau. | Non |
Algorithme | L’algorithme utilisé par l’émetteur pour signer le certificat. La valeur doit être « sha256 ». | Oui, si Désactiver l’application de Transparence du certificat pour certains certificats spécifiques est utilisé |
Hachage de | La clé publique associée à l’identité à laquelle ce certificat est émis. | Oui, si Désactiver l’application de Transparence du certificat pour certains certificats spécifiques est utilisé |
Désactiver certains domaines spécifiques | Une liste de domaines pour lesquels la transparence du certificat est désactivée. Une certaine durée peut être utilisée pour faire correspondre les sous-domaines, mais une règle pour la correspondance de domaines ne doit pas faire correspondre tous les domaines au sein d’un domaine de niveau supérieur. (« .com » et « .co.uk » ne sont pas autorisés, mais « .example.com » et « .example.co.uk » le sont). | Non |
Créer le hachage de subjectPublicKeyInfo
Pour que l’application de Transparence du certificat soit désactivée lorsque cette règle est configurée, le hachage de subjectPublicKeyInfo doit correspondre à l’un des éléments suivants :
La première méthode permettant de désactiver l’application de Transparence du certificat |
|---|
Un hachage de la valeur |
La deuxième méthode permettant de désactiver l’application de Transparence du certificat |
|---|
|
La troisième méthode permettant de désactiver l’application de Transparence du certificat |
|---|
|
Générer les données indiquées
Dans le dictionnaire subjectPublicKeyInfo , utilisez les commandes suivantes :
Certificat encodé selon les règles PEM :
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificat encodé selon les règles DER :
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Si votre certificat ne possède pas d’extension .pem ni .der, utilisez les commandes de fichier suivantes pour identifier son type d’encodage :
fichier example_certificate.crtfichier example_certificate.cer
Pour afficher un exemple intégral de ces données utiles, consultez Exemple de données utiles personnalisées Transparence du certificat.