MDM

Instellingen voor de payload 'Certificaattransparantie' voor Apple apparaten

Met de payload 'Certificaattransparantie' kun je het afdwingen van certificaattransparantie beheren op een iPhone, iPad, Mac of Apple TV. Voor deze aangepaste payload is geen MDM of inschrijving bij Apple School Manager of Apple Business Manager vereist.

In iOS, iPadOS, macOS en tvOS zijn nieuwe vereisten voor certificaattransparantie toegevoegd, zodat TLS-certificaten kunnen worden vertrouwd. Bij certificaattransparantie moet het publieke certificaat van een server naar een logbestand worden gestuurd dat algemeen toegankelijk is. Een organisatie die certificaten gebruikt voor servers die alleen intern worden gebruikt, kan het bestaan van die servers mogelijk niet bekendmaken en kan dus ook geen gebruik maken van certificaattransparantie. Dit betekent ook dat het voor gebruikers van die organisatie niet mogelijk is om certificaten te vertrouwen waarvoor certificaattransparantie vereist is.

Met deze payload kunnen apparaatbeheerders de vereisten voor certificaattransparantie verlagen voor specifieke interne domeinen en servers om te voorkomen dat ze niet kunnen worden vertrouwd door apparaten die met de interne servers moeten communiceren. Zie:

Besturingssysteem en niveau	Ondersteunde inschrijvingstypen	Interactie	Duplicaten
iOS iPadOS tvOS macOS-apparaat	Gebruiker Apparaat Apparaat (automatisch)	Gecombineerd	Meerdere

Besturingssysteem en niveau

Ondersteunde inschrijvingstypen

Interactie

Duplicaten

iOS

iPadOS

tvOS

macOS-apparaat

Gebruiker

Apparaat

Apparaat (automatisch)

Gecombineerd

Meerdere

Instelling	Beschrijving	Vereist
Schakel afdwingen van certificaattransparantie uit voor specifieke certificaten	Selecteer deze optie om private, niet-vertrouwde certificaten toe te staan door het afdwingen van certificaattransparantie uit te schakelen. De certificaten waarvoor je dit wilt uitschakelen moeten het volgende bevatten: (1) het algoritme waarmee de certificaatverstrekker het certificaat heeft ondertekend en (2) de publieke sleutel die gekoppeld is aan de identiteit waaraan het certificaat is verstrekt. De specifieke waarden die je moet gebruiken, staan verderop in deze tabel.	Nee
Algoritme	Het algoritme waarmee de certificaatverstrekker het certificaat heeft ondertekend. De waarde moet 'sha256' zijn.	Ja als 'Schakel afdwingen van certificaattransparantie uit voor specifieke certificaten' is geselecteerd
Hash van `subjectPublicKeyInfo`	De publieke sleutel die gekoppeld is aan de identiteit waaraan het certificaat is verstrekt.	Ja als 'Schakel afdwingen van certificaattransparantie uit voor specifieke certificaten' is geselecteerd
Schakel specifieke domeinen uit	Een lijst met domeinen waarvoor certificaattransparantie is uitgeschakeld. Je kunt een voorlooppunt gebruiken om ook subdomeinen uit te schakelen, maar je kunt geen domeinnaam opgeven die overeen zou komen met alle domeinen onder een bepaald domein op hoofdniveau. ('.com' en '.co.uk' zijn niet toegestaan, maar '.example.com' en '.example.co.uk' wel).	Nee

De hash van subjectPublicKeyInfo aanmaken

Om ervoor te zorgen dat het afdwingen van certificaattransparantie wordt uitgeschakeld wanneer dit beleid wordt ingesteld, moet voor subjectPublicKeyInfo een van de volgende typen hash worden gebruikt:

De eerste methode om het afdwingen van certificaattransparantie uit te schakelen
Een hash van de waarde `subjectPublicKeyInfo` in het leaf-certificaat van de server.

De tweede methode om het afdwingen van certificaattransparantie uit te schakelen
De hash is een waarde uit het veld `subjectPublicKeyInfo` van het rootcertificaat of een intermediair certificaat in de certificaatketen. Voor dat root- of intermediaire certificaat geldt een beperking op basis van de X.509v3-extensie `nameConstraints`. Een of meer `directoryName` `nameConstraints` zijn aanwezig in de `permittedSubtrees`. De `directoryName` bevat het kenmerk `organizationName`.

De derde methode om het afdwingen van certificaattransparantie uit te schakelen
De hash is een waarde uit het veld `subjectPublicKeyInfo` van het rootcertificaat of een intermediair certificaat in de certificaatketen. Dat root- of intermediaire certificaat bevat een of meer kenmerken van het type `organizationName` in het certificaatonderwerp. Het leaf-certificaat van de server bevat hetzelfde aantal kenmerken van het type `organizationName`, in dezelfde volgorde, en heeft byte voor byte exact dezelfde waarden.

De derde methode om het afdwingen van certificaattransparantie uit te schakelen

De hash is een waarde uit het veld subjectPublicKeyInfo van het rootcertificaat of een intermediair certificaat in de certificaatketen.
Dat root- of intermediaire certificaat bevat een of meer kenmerken van het type organizationName in het certificaatonderwerp.
Het leaf-certificaat van de server bevat hetzelfde aantal kenmerken van het type organizationName, in dezelfde volgorde, en heeft byte voor byte exact dezelfde waarden.

De opgegeven gegevens genereren

Gebruik de volgende commando's in het woordenboek voor subjectPublicKeyInfo:

PEM-gecodeerd certificaat: openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
DER-gecodeerd certificaat: openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Als het certificaat geen .pem- of .der-extensie heeft, gebruik je de volgende file-commando's om het type codering aan te geven:

file example_certificate.crt
file example_certificate.cer

Zie Voorbeeld van een aangepaste payload voor certificaattransparantie voor een compleet voorbeeld van deze aangepaste payload.

Zie ookOverzicht van MDM voor Apple apparaten Tips voor payloads voor Apple apparaten Apple Developer-website: Certificate Transparency

Nuttig?

Instellingen voor mobielapparaatbeheer

Instellingen voor de payload 'Certificaattransparantie' voor Apple apparaten

De hash van subjectPublicKeyInfo aanmaken

De opgegeven gegevens genereren