AppleデバイスのCT(証明書の透明性)MDMペイロードの設定
CT(証明書の透明性)ペイロードでは、iPhone、iPad、Mac、またはApple TVデバイスのCT(証明書の透明性)適用の動作を制御できます。このカスタムペイロードについては、MDMは必要なく、デバイスのシリアル番号がApple School Manager、Apple Business Manager、またはApple Business Essentialsに表示される必要はありません。
iOS、iPadOS、macOS、tvOS、watchOS 10、およびvisionOS 1.1では、TLS証明書が信頼されるようにするためにCT(証明書の信頼性)要件があります。CT(証明書の信頼性)では、公開されているログにサーバの公開証明書を送信する必要があります。内部サーバ用の証明書を使用している場合、内部サーバを表示することはできないため、CT(証明書の透明性)を使用できません。その結果、CT(証明書の透明性)要件によってユーザには証明書信頼エラーが発生します。
このペイロードにより、デバイスの管理者は、内部のドメインおよびサーバのCT(証明書の透明性)要件を選択的に下げて、内部サーバと通信するデバイスでこのような信頼エラーが発生しないようにできます。
CT(証明書の透明性)ペイロードは、以下に対応しています。詳しくは、ペイロード情報を参照してください。
利用可能なペイロード識別子: com.apple.security.certificatetransparency
対応しているオペレーティングシステムおよびチャンネル: iOS、iPadOS、共有iPadデバイス、macOSデバイス、tvOS、watchOS 10、visionOS 1.1。
利用可能な登録タイプ: ユーザ登録、デバイス登録、自動デバイス登録。
重複を許可: True。CT(証明書の透明性)ペイロードはデバイスに複数配信できます。
CT(証明書の透明性)ペイロードでは以下の表の設定を使用できます。
設定 | 説明 | 必須 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
特定の証明書のCT(証明書の透明性)適用を無効にする | CT(証明書の透明性)の適用を無効にして信頼されていないプライベート証明書を許可するには、このオプションを選択します。無効にする証明書には、(1)発行者が証明書の署名に使用したアルゴリズムと(2)証明書の発行先の識別情報に関連付けられている公開鍵が含まれている必要があります。必要となる特定の値については、この表の残りの部分を参照してください。 | いいえ。 | |||||||||
アルゴリズム | 発行者が証明書の署名に使用したアルゴリズム。値は「sha256」である必要があります。 | 「特定の証明書のCT(証明書の透明性)適用を無効にする」を使用する場合は「はい」。 | |||||||||
| 証明書の発行先の識別情報に関連付けられている公開鍵。 | 「特定の証明書のCT(証明書の透明性)適用を無効にする」を使用する場合は「はい」。 | |||||||||
特定のドメインを無効にする | CT(証明書の透明性)を無効にするドメインのリスト。先頭にピリオドを使用してサブドメインに一致させることはできますが、ドメイン一致ルールによってトップ・レベル・ドメイン内のすべてのドメインに一致させることはできません。(「.com」や「.co.uk」は指定できませんが、「.betterbag.com」や「.betterbag.co.uk」は指定できます)。 | いいえ。 | |||||||||
注記: 各MDMベンダーは、これらの設定を異なる方法で実装します。お使いのデバイスで適用されるさまざまなCT(証明書の透明性)設定については、MDMベンダーの資料を参照してください。
subjectPublicKeyInfoのハッシュの作成方法
このポリシーが設定されているときにCT(証明書の透明性)の適用を無効にするには、subjectPublicKeyInfoのハッシュが以下のいずれかである必要があります:
CT(証明書の透明性)の適用を無効にする1番目の方法 |
|---|
サーバのリーフ証明書の |
CT(証明書の透明性)の適用を無効にする2番目の方法 |
|---|
|
CT(証明書の透明性)の適用を無効にする3番目の方法 |
|---|
|
指定されたデータの生成方法
subjectPublicKeyInfo辞書で、以下のコマンドを使用します:
PEMエンコードされた証明書:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DERエンコードされた証明書:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
証明書の拡張子が.pemまたは.derではない場合は、以下のfileコマンドを使ってエンコードタイプを確認します:
file example_certificate.crtfile example_certificate.cer
このカスタムペイロードの完全な例については、「CT(証明書の透明性)のカスタムペイロードの例」を参照してください。