AppleデバイスのCT(証明書の透明性)ペイロードの設定
CT(証明書の透明性)ペイロードでは、iPhone、iPad、Mac、またはApple TVデバイスのCT(証明書の透明性)適用の動作を制御できます。このカスタムペイロードについては、MDMや、Apple School ManagerまたはApple Business Managerでの登録は必要ありません。
iOS、iPadOS、macOS、およびtvOSでは、TLS証明書が信頼されるようにするために新しいCT(証明書の信頼性)要件が追加されました。CT(証明書の信頼性)では、公開されているログにサーバの公開証明書を送信する必要があります。内部サーバ用の証明書を使用している組織の場合、内部サーバの存在を明かすことはできないため、CT(証明書の透明性)を使用できません。また、そのような組織では、CT(証明書の透明性)要件によって証明書信頼エラーも発生します。
このペイロードにより、デバイスの管理者は、内部のドメインおよびサーバのCT(証明書の透明性)要件を選択的に下げて、内部サーバと通信するデバイスでこのような信頼エラーが発生しないようにできます。以下を参照してください:
OSおよびチャネル | 利用可能な登録タイプ | 操作 | 重複 |
|---|---|---|---|
iOS iPadOS tvOS macOSデバイス | ユーザ デバイス 自動デバイス | 共通 | 複数 |
設定 | 説明 | 必須 |
|---|---|---|
特定の証明書のCT(証明書の透明性)適用を無効にする | CT(証明書の透明性)の適用を無効にして信頼されていないプライベート証明書を許可するには、このオプションを選択します。無効にする証明書には、(1)発行者が証明書の署名に使用したアルゴリズムと(2)証明書の発行先の識別情報に関連付けられている公開鍵が含まれている必要があります。必要となる特定の値については、この表の残りの部分を参照してください。 | いいえ |
アルゴリズム | 発行者が証明書の署名に使用したアルゴリズム。値は「sha256」である必要があります。 | 「特定の証明書のCT(証明書の透明性)適用を無効にする」を使用する場合は「はい」 |
| 証明書の発行先の識別情報に関連付けられている公開鍵。 | 「特定の証明書のCT(証明書の透明性)適用を無効にする」を使用する場合は「はい」 |
特定のドメインを無効にする | CT(証明書の透明性)を無効にするドメインのリスト。先頭にピリオドを使用してサブドメインに一致させることはできますが、ドメイン一致ルールによってトップ・レベル・ドメイン内のすべてのドメインに一致させることはできません。(「.com」や「.co.uk」は指定できませんが、「.example.com」や「.example.co.uk」は指定できます)。 | いいえ |
subjectPublicKeyInfoのハッシュの作成方法
このポリシーが設定されているときにCT(証明書の透明性)の適用を無効にするには、subjectPublicKeyInfoのハッシュが以下のいずれかである必要があります:
CT(証明書の透明性)の適用を無効にする1番目の方法 |
|---|
サーバのリーフ証明書の |
CT(証明書の透明性)の適用を無効にする2番目の方法 |
|---|
|
CT(証明書の透明性)の適用を無効にする3番目の方法 |
|---|
|
指定されたデータの生成方法
subjectPublicKeyInfo辞書で、以下のコマンドを使用します:
PEMエンコードされた証明書:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DERエンコードされた証明書:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
証明書の拡張子が.pemまたは.derではない場合は、以下のfileコマンドを使ってエンコードタイプを確認します:
file example_certificate.crtfile example_certificate.cer
このカスタムペイロードの完全な例については、「CT(証明書の透明性)のカスタムペイロードの例」を参照してください。