A Tanúsítvány átláthatósága MDM-adatcsomag beállításai Apple-eszközökhöz
A Tanúsítvány átláthatósága adatcsomag használatával a tanúsítványátláthatóság érvényesítésének viselkedését vezérelheti az iPhone, iPad, Mac vagy Apple TV eszközökön. Ehhez az egyéni adatcsomaghoz nincs szükség MDM-re, illetve az eszköz sorozatszámának nem kell megjelennie az Apple School Managerben, az Apple Business Managerben vagy az Apple Business Essentialsben
Az iOS, az iPadOS, a macOS, a tvOS, a watchOS 10 és a visionOS 1.1 rendszer tanúsítványátláthatósági követelményekkel rendelkezik, hogy a TLS-tanúsítványok megbízhatónak minősüljenek. A Tanúsítvány átláthatósága használatakor a rendszer elküldi egy szerver nyilvános tanúsítványát egy naplóba, amely nyilvánosan hozzáférhető. Ha csak belső használatú szerverekhez használ tanúsítványokat, akkor elképzelhető, hogy nem tudja megjeleníteni az adott szervereket, így nem fogja tudni használni a Tanúsítvány átláthatóságát. Ennek eredményeképpen a tanúsítványátláthatósági követelmények tanúsítványmegbízhatósággal kapcsolatos hibákat fognak okozni.
Ez az adatcsomag lehetővé teszi, hogy az eszközöket felügyelő adminisztrátorok szelektíven csökkentsék a tanúsítványátláthatósági követelményt a belső domének és szerverek esetében, hogy a belső szerverekkel kommunikáló eszközökön ne forduljanak elő megbízhatósággal kapcsolatos hibák.
A Tanúsítvány átláthatósága adatcsomag a következőket támogatja. További információk: Adatcsomagok adatai.
Támogatott adatcsomag-azonosító: com.apple.security.certificatetransparency
Támogatott operációs rendszerek és csatornák: iOS, iPadOS, megosztott iPad, macOS-eszköz, tvOS, watchOS 10, visionOS 1.1.
Támogatott felíratási típusok: Felhasználói regisztráció, Eszközregisztráció, Automatizált eszközregisztráció.
Megkettőzött elemek engedélyezve: Igaz – több Certificate Transparency adatcsomag továbbítható egy eszközhöz.
Apple-támogatási cikk: Az Apple Certificate Transparency-szabályzata
Tanúsítványátláthatósági irányelv a Chromium Project webhelyén
Használhatja az alábbi táblázatban található beállításokat a Certificate Transparency adatcsomaggal.
Beállítás | Leírás | Kötelező | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates (Tanúsítványátláthatóság érvényesítésének letiltása bizonyos tanúsítványok esetében) | Ha kiválasztja ezt a beállítást, akkor a Tanúsítvány átláthatósága funkció érvényesítésének letiltásával privát, nem megbízható tanúsítványokat engedélyezhet. A letiltani kívánt tanúsítványoknak tartalmazniuk kell (1) az algoritmust, amelynek használatával a kiadó aláírta a tanúsítványt, illetve (2) a nyilvános kulcsot, amely a tanúsítványt használó identitással van társítva. A szükséges értékeket illetően tekintse meg a táblázat többi részét. | Nem. | |||||||||
Algorithm (Algoritmus) | A kiadó által használt algoritmus, amellyel a tanúsítvány alá lett írva. A következő értéket kell megadni: „sha256”. | Igen, ha a Disable Certificate Transparency enforcement for specific certificates (Tanúsítványátláthatóság érvényesítésének letiltása bizonyos tanúsítványok esetében) beállítás van használva. | |||||||||
A | A tanúsítványt használó identitással társított nyilvános kulcs. | Igen, ha a Disable Certificate Transparency enforcement for specific certificates (Tanúsítványátláthatóság érvényesítésének letiltása bizonyos tanúsítványok esetében) beállítás van használva. | |||||||||
Disable specific domains (Meghatározott domének letiltása) | Azoknak a doméneknek a listája, amelyek esetében a tanúsítvány átláthatósága le van tiltva. Az aldomének egyeztetéséhez egy kezdő időszak használható, viszont egy doménegyeztetési szabállyal nem lehet az összes domént megfeleltetni a legfelső szintű doménben. (a „.com” és „.co.uk” nem engedélyezett, de a „.betterbag.com” és a „.betterbag.co.uk” engedélyezett). | Nem. | |||||||||
Megjegyzés: Az MDM-gyártók különbözőképpen valósítják meg ezeket a beállításokat. Ha szeretné megismerni, hogyan kerülnek a különböző Certificate Transparency-beállítások alkalmazásra az eszközein, tekintse meg az MDM-szolgáltató dokumentációját.
A subjectPublicKeyInfo kivonatának létrehozása
Ha azt szeretné, hogy a Tanúsítvány átláthatósága funkció érvényesítése le legyen tiltva, amikor ez az irányelv be van állítva, akkor a subjectPublicKeyInfo kivonatának az alábbiak egyikének kell lennie:
Az első módszer, amellyel a Tanúsítvány átláthatósága funkció érvényesítése letiltható |
|---|
A szerver levéltanúsítványához tartozó |
A második módszer, amellyel a Tanúsítvány átláthatósága funkció érvényesítése letiltható |
|---|
|
A harmadik módszer, amellyel a Tanúsítvány átláthatósága funkció érvényesítése letiltható |
|---|
|
A megadott adatok létrehozásának menete
A subjectPublicKeyInfo szótárban használja az alábbi parancsokat:
PEM-kódolású tanúsítvány:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER-kódolású tanúsítvány:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Ha a tanúsítvány nem rendelkezik .pem vagy .der kiterjesztéssel, használja az alábbi fájlparancsokat a kódolás típusának azonosításához:
file example_certificate.crtfile example_certificate.cer
Ha egy teljes példát szeretne megtekinteni erről az egyéni adatcsomagról, tekintse meg a következő részt: Példa a Tanúsítvány átláthatósága egyéni adatcsomagra.