Instellingen voor de MDM-payload 'Certificaattransparantie' voor Apple apparaten
Met de payload 'Certificaattransparantie' kun je het afdwingen van certificaattransparantie beheren op een iPhone, iPad, Mac of Apple TV. Voor deze aangepaste payload is geen MDM vereist en het serienummer van het apparaat hoeft ook niet te zijn opgenomen in Apple School Manager, Apple Business Manager of Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 en visionOS 1.1 kennen vereisten voor certificaattransparantie, zodat TLS-certificaten kunnen worden vertrouwd. Bij certificaattransparantie moet het publieke certificaat van de server naar een logbestand worden gestuurd dat algemeen toegankelijk is. Als je certificaten gebruikt voor interne servers, is het mogelijk dat je die servers niet kunt weergeven en certificaattransparantie dus niet kunt gebruiken. Het gevolg is dat gebruikers het certificaat, vanwege de vereisten voor certificaattransparantie, niet kunnen vertrouwen.
Met deze payload kunnen apparaatbeheerders de vereisten voor certificaattransparantie verlagen voor specifieke interne domeinen en servers om te voorkomen dat ze niet kunnen worden vertrouwd door apparaten die met de interne servers moeten communiceren.
De payload 'Certificaattransparantie' ondersteunt het volgende. Zie Payloadinformatie voor meer informatie.
ID ondersteunde payload: com.apple.security.certificatetransparency
Ondersteunde besturingssystemen en kanalen: iOS, iPadOS, gedeelde iPad, macOS-apparaat, tvOS, watchOS 10, visionOS 1.1.
Ondersteunde inschrijvingstypen: gebruikersinschrijving, apparaatinschrijving, automatische apparaatinschrijving.
Duplicaten toegestaan: Waar: Er kunnen meerdere payloads 'Certificaattransparantie' worden aangeboden aan een apparaat.
Apple Support-artikel: Het Certificate Transparency-beleid (CT-beleid) van Apple
Certificate Transparency policy op de Chromium Projects-website
De instellingen in de onderstaande tabel kunnen worden gebruikt met de payload 'Certificaattransparantie'.
Instelling | Beschrijving | Vereist | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Schakel afdwingen van certificaattransparantie uit voor specifieke certificaten | Selecteer deze optie om private, niet-vertrouwde certificaten toe te staan door het afdwingen van certificaattransparantie uit te schakelen. De certificaten waarvoor je dit wilt uitschakelen moeten het volgende bevatten: 1) het algoritme waarmee de certificaatverstrekker het certificaat heeft ondertekend, en 2) de publieke sleutel die gekoppeld is aan de identiteit waaraan het certificaat is verstrekt. De specifieke waarden die je moet gebruiken, staan verderop in deze tabel. | Nee. | |||||||||
Algoritme | Het algoritme waarmee de certificaatverstrekker het certificaat heeft ondertekend. De waarde moet 'sha256' zijn. | Ja, als 'Schakel afdwingen van certificaattransparantie uit voor specifieke certificaten' is geselecteerd. | |||||||||
Hash van | De publieke sleutel die gekoppeld is aan de identiteit waaraan het certificaat is verstrekt. | Ja, als 'Schakel afdwingen van certificaattransparantie uit voor specifieke certificaten' is geselecteerd. | |||||||||
Schakel specifieke domeinen uit | Een lijst met domeinen waarvoor certificaattransparantie is uitgeschakeld. Je kunt een voorlooppunt gebruiken om ook subdomeinen uit te schakelen, maar je kunt geen domeinnaam opgeven die overeen zou komen met alle domeinen onder een bepaald domein op hoofdniveau. ('.com' en '.co.uk' zijn niet toegestaan, maar '.betterbag.com' en '.betterbag.co.uk' wel). | Nee. | |||||||||
Opmerking: Elke MDM-leverancier implementeert deze instellingen op een andere manier. Als je wilt weten hoe de instellingen voor de payload 'Certificaattransparantie' op je apparaten worden toegepast, raadpleeg je de documentatie van je MDM-leverancier.
De hash van subjectPublicKeyInfo aanmaken
Om ervoor te zorgen dat het afdwingen van certificaattransparantie wordt uitgeschakeld wanneer dit beleid wordt ingesteld, moet voor subjectPublicKeyInfo een van de volgende typen hash worden gebruikt:
De eerste methode om het afdwingen van certificaattransparantie uit te schakelen |
|---|
Een hash van de waarde |
De tweede methode om het afdwingen van certificaattransparantie uit te schakelen |
|---|
|
De derde methode om het afdwingen van certificaattransparantie uit te schakelen |
|---|
|
De opgegeven gegevens genereren
Gebruik de volgende commando's in het woordenboek voor subjectPublicKeyInfo:
PEM-gecodeerd certificaat:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER-gecodeerd certificaat:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Als het certificaat geen .pem- of .der-extensie heeft, gebruik je de volgende file-commando's om het type codering aan te geven:
file example_certificate.crtfile example_certificate.cer
Zie Voorbeeld van een aangepaste payload voor certificaattransparantie voor een compleet voorbeeld van deze aangepaste payload.