Seting muat beban pengurusan peranti Ketelusan Sijil untuk peranti Apple

Gunakan muat beban Ketelusan Sijil untuk mengawal kelakuan penguatkuasaan Ketelusan Sijil untuk pengguna peranti Apple. Muat beban tersuai ini tidak memerlukan perkhidmatan pengurusan peranti atau nombor siri peranti untuk muncul dalam Apple School Manager atau Apple Business Manager.

iOS, iPadOS, macOS, tvOS, watchOS 10 dan visionOS 1.1 mempunyai keperluan Ketelusan Sijil supaya sijil TLS boleh dipercayai. Ketelusan Sijil melibatkan penghantaran sijil awam pelayan anda kepada log yang tersedia untuk awam. Jika anda menggunakan sijil untuk pelayan dalaman sahaja, anda mungkin tidak dapat menunjukkan pelayan tersebut dan seterusnya tidak akan dapat menggunakan Ketelusan Sijil. Hasilnya, keperluan Ketelusan Sijil menyebabkan kegagalan kepercayaan sijil untuk pengguna anda.

Muat beban ini membenarkan pentadbir peranti merendahkan keperluan Ketelusan Sijil secara pilihan untuk domain dan pelayan dalaman bagi mengelak kegagalan kepercayaan pada peranti yang berkomunikasi dengan pelayan dalaman.

Muat beban Ketelusan Sijil menyokong yang berikut. Untuk mendapatkan maklumat lanjut, lihat Maklumat muat beban.

Pengecam muat beban disokong: com.apple.security.certificatetransparency
Sistem pengendalian dan saluran yang disokong: iOS, iPadOS, peranti iPad Dikongsi, peranti macOS, tvOS, watchOS 10, visionOS 1.1.
Kaedah pendaftaran disokong: Pendaftaran Pengguna, Pendaftaran Peranti, Pendaftaran Peranti Diautomasikan.
Duplikasi dibenarkan: Benar—lebih daripada satu muat beban Ketelusan Sijil boleh dihantar kepada peranti.

Anda boleh menggunakan seting dalam jadual di bawah dengan muat beban Ketelusan Sijil.

Seting	Perihalan	Diperlukan
Nyahdayakan penguatkuasaan Ketelusan Sijil untuk sijil tertentu	Pilih pilihan ini untuk membenarkan sijil peribadi dan tidak dipercayai dengan menyahdayakan penguatkuasaan Ketelusan Sijil. Sijil yang mahu dinyahdayakan perlu mengandungi (1) algoritma yang telah digunakan oleh pengeluar untuk menandatangani sijil dan (2) kunci awam yang dikaitkan dengan identiti yang dikeluarkan sijil untuknya. Untuk nilai tertentu yang anda perlukan, lihat baki jadual ini.	Tidak.
Algoritma	Algoritma yang telah digunakan oleh pengeluar untuk menandatangani sijil. Nilai mestilah “sha256”.	Ya, jika penguatkuasaan Nyahdayakan Ketelusan Sijil untuk sijil tertentu digunakan.
Hash `subjectPublicKeyInfo`	Kunci awam dikaitkan dengan identiti yang dikeluarkan sijil untuknya.	Ya, jika penguatkuasaan Nyahdayakan Ketelusan Sijil untuk sijil tertentu digunakan.
Nyahdayakan domain tertentu	Senarai domain apabila ketelusan sijil dinyahdayakan. Noktah boleh digunakan untuk memadankan subdomain, tetapi peraturan pemadanan domain tidak boleh memadankan semua domain dalam domain paras tertinggi. (“.com” dan “.co.uk” tidak dibenarkan, tetapi “.betterbag.com” dan “.betterbag.co.uk” dibenarkan).	Tidak.

Nota: Setiap pembangun perkhidmatan pengurusan peranti melaksanakan seting ini secara berbeza. Untuk mengetahui cara pelbagai seting Ketelusan Sijil digunakan pada peranti anda, rujuk dokumentasi perkhidmatan pengurusan peranti pembangun anda.

Cara mencipta hash subjectPublicKeyInfo

Supaya penguatkuasaan Ketelusan Sijil dinyahdayakan apabila dasar ini disetkan, hash subjectPublicKeyInfo perlu menjadi satu daripada berikut:

Kaedah pertama untuk menyahdayakan penguatkuasaan Ketelusan Sijil
Hash nilai `subjectPublicKeyInfo` sijil dedaun pelayan.

Kaedah kedua untuk menyahdayakan penguatkuasaan Ketelusan Sijil
Hash ialah daripada medan `subjectPublicKeyInfo` daripada sijil akar atau perantaraan dalam rantai sijil. Sijil akar atau perantaraan itu dikekang melalui sambungan `nameConstraints` X.509v3. Satu atau lebih `directoryName` `nameConstraints` wujud dalam `permittedSubtrees`. `directoryName` mengandungi atribut `organizationName`.

Kaedah ketiga untuk menyahdayakan penguatkuasaan Ketelusan Sijil
Hash ialah daripada medan `subjectPublicKeyInfo` daripada sijil akar atau perantaraan dalam rantai sijil. Sijil akar atau perantaraan itu mempunyai satu atau lebih atribut `organizationName` dalam Subjek sijil. Sijil dedaun pelayan mengandungi bilangan atribut `organizationName` yang sama, dalam tertib yang sama dan ialah padanan yang tepat, dengan nilai serupa bait untuk bait.

Cara menjana data yang ditentukan

Dalam kamus subjectPublicKeyInfo, gunakan perintah berikut:

Sijil dikodkan PEM: openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Sijil dikodkan DER: openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Jika sijil anda tidak mempunyai sambungan .pem atau .der, gunakan perintah fail berikut untuk mengenal pasti jenis pengekodannya:

file example_certificate.crt
file example_certificate.cer

Untuk melihat contoh lengkap muat beban tersuai ini, lihat Contoh muat beban tersuai Ketelusan Sijil.

Lihat jugaPengenalan kepada profil pengurusan peranti Rancang profil konfigurasi anda untuk peranti Apple Tapak web Pembangun Apple: Ketelusan Sijil

Berguna?

Pengerahan Platform Apple

Seting muat beban pengurusan peranti Ketelusan Sijil untuk peranti Apple

Cara mencipta hash subjectPublicKeyInfo

Cara menjana data yang ditentukan