
Seting muat beban pengurusan peranti Ketelusan Sijil untuk peranti Apple
Gunakan muat beban Ketelusan Sijil untuk mengawal kelakuan penguatkuasaan Ketelusan Sijil untuk pengguna peranti Apple. Muat beban tersuai ini tidak memerlukan perkhidmatan pengurusan peranti atau nombor siri peranti untuk muncul dalam Apple School Manager atau Apple Business Manager.
iOS, iPadOS, macOS, tvOS, watchOS 10 dan visionOS 1.1 mempunyai keperluan Ketelusan Sijil supaya sijil TLS boleh dipercayai. Ketelusan Sijil melibatkan penghantaran sijil awam pelayan anda kepada log yang tersedia untuk awam. Jika anda menggunakan sijil untuk pelayan dalaman sahaja, anda mungkin tidak dapat menunjukkan pelayan tersebut dan seterusnya tidak akan dapat menggunakan Ketelusan Sijil. Hasilnya, keperluan Ketelusan Sijil menyebabkan kegagalan kepercayaan sijil untuk pengguna anda.
Muat beban ini membenarkan pentadbir peranti merendahkan keperluan Ketelusan Sijil secara pilihan untuk domain dan pelayan dalaman bagi mengelak kegagalan kepercayaan pada peranti yang berkomunikasi dengan pelayan dalaman.
Muat beban Ketelusan Sijil menyokong yang berikut. Untuk mendapatkan maklumat lanjut, lihat Maklumat muat beban.
Pengecam muat beban disokong: com.apple.security.certificatetransparency
Sistem pengendalian dan saluran yang disokong: iOS, iPadOS, peranti iPad Dikongsi, peranti macOS, tvOS, watchOS 10, visionOS 1.1.
Kaedah pendaftaran disokong: Pendaftaran Pengguna, Pendaftaran Peranti, Pendaftaran Peranti Diautomasikan.
Duplikasi dibenarkan: Benar—lebih daripada satu muat beban Ketelusan Sijil boleh dihantar kepada peranti.
Anda boleh menggunakan seting dalam jadual di bawah dengan muat beban Ketelusan Sijil.
Seting | Perihalan | Diperlukan | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Nyahdayakan penguatkuasaan Ketelusan Sijil untuk sijil tertentu | Pilih pilihan ini untuk membenarkan sijil peribadi dan tidak dipercayai dengan menyahdayakan penguatkuasaan Ketelusan Sijil. Sijil yang mahu dinyahdayakan perlu mengandungi (1) algoritma yang telah digunakan oleh pengeluar untuk menandatangani sijil dan (2) kunci awam yang dikaitkan dengan identiti yang dikeluarkan sijil untuknya. Untuk nilai tertentu yang anda perlukan, lihat baki jadual ini. | Tidak. | |||||||||
Algoritma | Algoritma yang telah digunakan oleh pengeluar untuk menandatangani sijil. Nilai mestilah “sha256”. | Ya, jika penguatkuasaan Nyahdayakan Ketelusan Sijil untuk sijil tertentu digunakan. | |||||||||
Hash | Kunci awam dikaitkan dengan identiti yang dikeluarkan sijil untuknya. | Ya, jika penguatkuasaan Nyahdayakan Ketelusan Sijil untuk sijil tertentu digunakan. | |||||||||
Nyahdayakan domain tertentu | Senarai domain apabila ketelusan sijil dinyahdayakan. Noktah boleh digunakan untuk memadankan subdomain, tetapi peraturan pemadanan domain tidak boleh memadankan semua domain dalam domain paras tertinggi. (“.com” dan “.co.uk” tidak dibenarkan, tetapi “.betterbag.com” dan “.betterbag.co.uk” dibenarkan). | Tidak. |
Nota: Setiap pembangun perkhidmatan pengurusan peranti melaksanakan seting ini secara berbeza. Untuk mengetahui cara pelbagai seting Ketelusan Sijil digunakan pada peranti anda, rujuk dokumentasi perkhidmatan pengurusan peranti pembangun anda.
Cara mencipta hash subjectPublicKeyInfo
Supaya penguatkuasaan Ketelusan Sijil dinyahdayakan apabila dasar ini disetkan, hash subjectPublicKeyInfo
perlu menjadi satu daripada berikut:
Kaedah pertama untuk menyahdayakan penguatkuasaan Ketelusan Sijil |
---|
Hash nilai |
Kaedah kedua untuk menyahdayakan penguatkuasaan Ketelusan Sijil |
---|
|
Kaedah ketiga untuk menyahdayakan penguatkuasaan Ketelusan Sijil |
---|
|
Cara menjana data yang ditentukan
Dalam kamus subjectPublicKeyInfo
, gunakan perintah berikut:
Sijil dikodkan PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Sijil dikodkan DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Jika sijil anda tidak mempunyai sambungan .pem atau .der, gunakan perintah fail berikut untuk mengenal pasti jenis pengekodannya:
file example_certificate.crt
file example_certificate.cer
Untuk melihat contoh lengkap muat beban tersuai ini, lihat Contoh muat beban tersuai Ketelusan Sijil.