Apple aygıtları için Sertifika Şeffaflığı MDM verisi ayarları
iPhone, iPad, Mac veya Apple TV aygıtlarında Sertifika Şeffaflığı yaptırımının davranışını denetlemek için Certificate Transparency verisini kullanın. Bu özel veri, MDM’nin veya aygıtın seri numarasının Apple Okul Yönetimi’nde veya Apple İşletme Yönetimi’nde veya Apple İşletme Temelleri’nde görünmesini gerektirmez.
iOS’te, iPadOS’te, macOS’te, tvOS’te, watchOS 10’da ve visionOS 1.1’de, TLS sertifikalarına güvenilebilmesini sağlayan Sertifika Şeffaflığı gereksinimleri vardır. Sertifika Şeffaflığı, sunucunuzun genel sertifikasını herkese açık bir günlüğe göndermeyi içerir. Yalnızca dahili sunucular için sertifikaları kullanıyorsanız bu sunucuları gösteremeyebilir ve bu yüzden Sertifika Şeffaflığı’nı kullanamayabilirsiniz. Sonuç olarak, Sertifika Şeffaflığı gereksinimleri kullanıcılarınız için sertifika güven hatalarına neden olur.
Bu veri, aygıt yöneticilerinin dahili sunucularla iletişim kuran aygıtlarda bu güven hatalarını önlemek amacıyla dahili alanlar ve sunucular için daha düşük Sertifika Şeffaflığı gereksinimleri seçmelerine olanak tanır.
Certificate Transparency verisi aşağıdakileri destekler. Daha fazla bilgi için Veri bilgileri konusuna bakın.
Desteklenen veri tanıtıcısı: com.apple.security.certificatetransparency
Desteklenen işletim sistemleri ve kanallar: iOS, iPadOS, Paylaşılan iPad aygıtı, macOS aygıtı, tvOS, watchOS 10, visionOS 1.1.
Desteklenen kayıt türleri: Kullanıcı Kaydı, Aygıt Kaydı, Otomatik Aygıt Kaydı.
İzin verilen yinelenenler: Doğru: Bir aygıta birden fazla Certificate Transparency verisi gönderilebilir.
Apple Destek makalesi: Apple’ın Sertifika Şeffaflığı politikası
Chromium Project web sitesindeSertifika Şeffaflığı politikası
Aşağıdaki tabloda yer alan ayarları Certificate Transparency verisi ile kullanabilirsiniz.
Ayar | Description | Gerekli | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Sertifika Şeffaflığı yaptırımını etkisizleştirerek özel, güvenilir olmayan sertifikalara izin vermek için bu seçeneği seçin. Etkisizleştirilecek sertifikaların, (1) sertifika verenin sertifikayı imzalamak için kullandığı algoritmayı ve (2) sertifikanın verildiği kimlikle ilişkili açık anahtarı içermesi gerekir. Gereksiniminiz olan kesin değerler için bu tablonun geri kalanına bakın. | Hayır. | |||||||||
Algorithm | Sertifika verenin sertifikayı imzalamak için kullandığı algoritma. Değerin “sha256” olması gerekir. | “Disable Certificate Transparency enforcement for specific certificates” kullanılıyorsa Evet. | |||||||||
Hash of | Sertifikanın verildiği kimlikle ilişkili açık anahtar. | “Disable Certificate Transparency enforcement for specific certificates” kullanılıyorsa Evet. | |||||||||
Disable specific domains | Sertifika şeffaflığının etkisizleştirilmiş olduğu alanların listesi. Alt alanları eşlemek için önde bir nokta kullanılabilir ama alan eşleme kuralının en üst düzey alandaki tüm alanları eşlememesi gerekir. (“.com” ve “.co.uk” alanlarına izin verilmez ama “.betterbag.com” ve “.betterbag.co.uk” alanlarına izin verilir). | Hayır. | |||||||||
Not: Her bir MDM satıcısı bu ayarları farklı şekilde uygular. Aygıtlarınıza çeşitli Sertifika Şeffaflığı ayarlarının nasıl uygulandığını öğrenmek istiyorsanız MDM satıcınızın belgelerine bakın.
subjectPublicKeyInfo özetini yaratma
Bu politika ayarlandığında Sertifika Şeffaflığı yaptırımının etkisizleştirilebilmesi için subjectPublicKeyInfo özetinin şunlardan biri olması gerekir:
Sertifika Şeffaflığı yaptırımını etkisizleştirmenin birinci yöntemi |
|---|
Sunucu kullanıcı sertifikasındaki |
Sertifika Şeffaflığı yaptırımını etkisizleştirmenin ikinci yöntemi |
|---|
|
Sertifika Şeffaflığı yaptırımını etkisizleştirmenin üçüncü yöntemi |
|---|
|
Belirtilen verileri oluşturma
subjectPublicKeyInfo sözlüğünde şu komutları kullanın:
PEM kodlanmış sertifika:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER kodlanmış sertifika:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Sertifikanızın bir .pem veya .der uzantısı yoksa kodlama türünü belirlemek için şu dosya komutlarını kullanın:
file example_certificate.crtfile example_certificate.cer
Bu özel verinin tam bir örneğini görüntülemek için Sertifika Şeffaflığı özel verisi örneği bölümüne bakın.