Ustawienia obsługiwanego przez MDM pakietu danych Certificate Transparency na urządzeniach Apple
Przy użyciu pakietu danych Certificate Transparency możesz kontrolować wymaganie korzystania z mechanizmu Certificate Transparency (przejrzystości certyfikatów) na iPhonie, iPadzie, Macu lub Apple TV. Ten własny pakiet danych nie wymaga użycia MDM ani obecności numeru seryjnego urządzenia w usłudze Apple School Manager, Apple Business Manager, lub Niezbędnik biznesowy Apple.
Systemy iOS, iPadOS, macOS, tvOS, watchOS 10 oraz visionOS 1.1 zawierają wymaganie zgodności certyfikatów TLS z mechanizmem Certificate Transparency. Mechanizm Certificate Transparency obejmuje zgłoszenie certyfikatu publicznego serwera do ogólnodostępnego rejestru. Jeśli używasz certyfikatów dla serwerów tylko do użytku wewnętrznego, możesz nie być w stanie wyświetlić tych serwerów, a zatem nie masz możliwości korzystania z mechanizmu Certificate Transparency. W rezultacie wymagania dotyczące mechanizmu Certificate Transparency spowodują utratę zaufania do certyfikatów u Twoich użytkowników.
Ten pakiet danych pozwala administratorom urządzeń na selektywne obniżanie wymagania użycia mechanizmu Certificate Transparency w przypadku określonych domen i serwerów wewnętrznych, aby uniknąć wspomnianych problemów przy łączeniu urządzeń z tymi serwerami wewnętrznymi.
Pakiet danych Certificate Transparency obsługuje elementy przedstawione poniżej. Aby uzyskać więcej informacji, zobacz: Informacje o pakietach danych.
Obsługiwany identyfikator pakietu: com.apple.security.certificatetransparency
Obsługiwane systemy operacyjne i kanały: iOS, iPadOS, wspólny iPad (urządzenie), macOS (urządzenie), tvOS, watchOS 10, visionOS 1.1.
Obsługiwane typy rejestracji: rejestracja użytkownika, rejestracja urządzenia, automatyczna rejestracja urządzenia.
Dozwolone duplikaty: Prawda — do urządzenia może zostać dostarczony więcej niż jeden pakiet danych Certificate Transparency.
Artykuł Wsparcia Apple: Zasady Apple dotyczące przejrzystości certyfikatów
Certificate Transparency policy (Zasady dotyczące mechanizmu Certificate Transparency) w witrynie Chromium Project
Z pakietem danych Certificate Transparency możesz użyć ustawień przedstawionych w poniższej tabeli.
Ustawienie | Opis | Wymagane | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates (Wyłącz wymaganie CT dla określonych certyfikatów) | Wybierz tę opcję, aby umożliwić korzystanie z prywatnych, niezaufanych certyfikatów przez wyłączenie wymagania użycia mechanizmu Certificate Transparency. Wybrane certyfikaty muszą zawierać (1) algorytm użyty przez wystawcę do podpisania danego certyfikatu oraz (2) klucz publiczny powiązany z tożsamością, dla której wydany został dany certyfikat. Wymagane wartości znajdują się w dalszej części tabeli. | Nie. | |||||||||
Algorithm (Algorytm) | Algorytm użyty przez wystawcę certyfikatu do jego podpisania. Musi być to wartość „sha256”. | Tak, jeśli włączone jest: Wyłącz wymaganie CT dla określonych certyfikatów. | |||||||||
Skrót | Klucz publiczny powiązany z tożsamością, dla której wystawiony został dany certyfikat. | Tak, jeśli włączone jest: Wyłącz wymaganie CT dla określonych certyfikatów. | |||||||||
Disable specific domains (Wyłącz określone domeny) | Lista domen, dla których wyłączony jest mechanizm Certificate Transparency. Można użyć początkowej kropki, aby dopasować poddomeny, ale reguła nie może dopasowywać wszystkich domen w domenie najwyższego poziomu. (Nie jest dozwolone użycie „.com” lub „.co.uk”, ale można użyć „.betterbag.com” oraz „.betterbag.co.uk”). | Nie. | |||||||||
Uwaga: Każdy dostawca rozwiązań MDM wdraża te ustawienia w inny sposób. Aby dowiedzieć się, jak różne ustawienia pakietu danych Certificate Transparency są stosowane do Twoich użytkowników, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.
Tworzenie skrótu subjectPublicKeyInfo
Aby wyłączyć wymaganie użycia mechanizmu Certificate Transparency gdy włączona jest ta zasada, skrót subjectPublicKeyInfo musi mieć jedną z wartości przedstawionych poniżej:
Pierwszy sposób wyłączenia wymagania użycia mechanizmu Certificate Transparency |
|---|
Podany skrót jest skrótem wartości pola |
Drugi sposób wyłączenia wymagania użycia mechanizmu Certificate Transparency |
|---|
|
Trzeci sposób wyłączenia wymagania użycia mechanizmu Certificate Transparency |
|---|
|
Generowanie wymaganych danych
Użyj następujących poleceń w słowniku subjectPublicKeyInfo:
Certyfikat zakodowany w formacie PEM:
openssl x509 -pubkey -in przykładowy_certyfikat.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certyfikat zakodowany w formacie DER:
openssl x509 -pubkey -in przykładowy_certyfikat.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Jeśli certyfikat ma inne rozszerzenie nazwy pliku, niż .pem lub .der, użyj poniższych poleceń file, aby sprawdzić jego kodowanie:
file przykładowy_certyfikat.crtfile przykładowy_certyfikat.cer
Aby wyświetlić kompletny przykład tego własnego pakietu danych, zobacz: Przykład własnego pakietu danych Certificate Transparency.