Impostazioni del payload “Trasparenza del certificato” per i dispositivi Apple
Usa il payload “Trasparenza del certificato” per controllare il comportamento dell'impostazione della trasparenza del certificato su un dispositivo iPhone, iPad, Mac o Apple TV. Questo payload personalizzato non richiede MDM né registrazione in Apple School Manager o Apple Business Manager.
iOS, iPadOS, macOS e tvOS hanno aggiunto dei nuovi requisiti di trasparenza dei certificati per considerare attendibili i certificati TLS. Per la trasparenza del certificato occorre inviare un certificato pubblico del server a un log che sia disponibile pubblicamente. Un'organizzazione che utilizza certificati per server solo interni potrebbe non essere in grado di rivelare l'esistenza di tali server e l'organizzazione non sarebbe quindi in grado di utilizzare la trasparenza del certificato. Inoltre, i requisiti di trasparenza del certificato causeranno anche problemi di inaffidabilità del certificato per gli utenti di tale organizzazione.
Questo payload consente agli amministratori del dispositivo di diminuire in modo selettivo il requisito di trasparenza del certificato per i server e i domini interni in modo da evitare errori di attendibilità per i dispositivi che comunicano su server interni. Consulta:
Politica di trasparenza dei certificati sul sito web del supporto Apple
Politica di trasparenza dei certificati sul sito web di Chromium Project
Sistema operativo e canale | Tipi di registrazione supportati | Interazione | Duplicati |
|---|---|---|---|
iOS iPadOS tvOS Dispositivo macOS | Utente Dispositivo Dispositivo automatizzato | Combinato | Multiplo |
Impostazione | Descrizione | Richiesta |
|---|---|---|
Disabilita impostazione trasparenza certificato per certificati specifici | Seleziona questa opzione per consentire i certificati privati non ritenuti attendibili disabilitando l'impostazione della trasparenza del certificato. Il certificato da disabilitare deve contenere (1) l'algoritmi che è stato utilizzato dall'emittente per firmare il certificato e (2) la chiave pubblica associata all'identità per cui è stato emesso il certificato. Per i valori specifici che ti occorrono, consulta il resto della tabella. | No |
Algoritmo | L'algoritmo utilizzato dall'emittente per firmare il certificato. Il valore deve essere “sha256”. | Sì se è utilizzato “Disabilita impostazione trasparenza certificato per certificati specifici” |
Hash di | La chiave pubblica associata all'identità per cui viene rilasciato il certificato. | Sì se è utilizzato “Disabilita impostazione trasparenza certificato per certificati specifici” |
Disabilita domini specifici | Un elenco di domini in cui la trasparenza del certificato è disabilitata. Un periodo iniziale può essere utilizzato per verificare la corrispondenza con i sottodomini, ma una regola di corrispondenza di dominio non deve corrispondere a tutti i domini all'interno di quello di livello superiore. (“.com” e “.co.uk” non sono consentiti. Sono invece consentiti “.example.com” e “.example.co.uk”). | No |
Come creare l'hash di subjectPublicKeyInfo
Perché l'impostazione della trasparenza certificato sia disabilitata quando è impostata questa politica, l'hash subjectPublicKeyInfo deve essere uno dei seguenti:
Il primo metodo per disabilitare l'impostazione della trasparenza del certificato |
|---|
Un hash del valore |
Il secondo metodo per disabilitare l'impostazione della trasparenza del certificato |
|---|
|
Il terzo metodo per disabilitare l'impostazione della trasparenza del certificato |
|---|
|
Come generare i dati specificati
Nel dizionario subjectPublicKeyInfo, usa i seguenti comandi:
Certificato codificato PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificato con codifica DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Se il certificato non ha un'estensione .pem o .der, usa i comandi file seguenti per identificarne il tipo di codifica:
file example_certificate.crtfile example_certificate.cer
Per visualizzare un esempio completo di questo payload, consulta l'esempio di payload personalizzato di “Trasparenza del certificato”.