Sertifika Şeffaflığı verisi ayarları
Aygıtta Sertifika Şeffaflığı yaptırımının davranışını denetlemek için Sertifika Şeffaflığı verisini kullanın. Bu özel veri, MDM’yi veya Apple Okul Yönetimi’ne ya da Apple İşletme Yönetimi’ne kayıtlı olmayı gerektirmez.
iOS, iPadOS, macOS ve tvOS, TLS sertifikalarına güvenilebilmesini sağlayan yeni Sertifika Şeffaflığı gereksinimleri eklemiştir. Sertifika Şeffaflığı, sunucunun genel sertifikasını herkese açık bir günlüğe göndermeyi içerir. Yalnızca dahili sunucular için sertifika kullanan bir kuruluş bu sunucuların varlığını ifşa edemeyebilir ve bu yüzden Sertifika Şeffaflığı’nı kullanamayabilir. Ayrıca söz konusu kuruluşun kullanıcıları için, sertifika şeffaflığı gereksinimleri sertifika güven hatalarına da neden olur.
Bu veri, aygıt yöneticilerinin dahili sunucularla iletişim kuran aygıtlarda bu güven hatalarını önlemek amacıyla dahili alanlar ve sunucular için daha düşük bir Sertifika Şeffaflığı gereksinimi seçmelerine olanak tanır. Şu konuya bakın:
iOS iPadOS tvOS macOS aygıtı | Hayır | Birleşik | Evet |
Ayar | Description | Gerekli | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Sertifika Şeffaflığı yaptırımını etkisizleştirerek özel, güvenilir olmayan sertifikalara izin vermek için bu seçeneği seçin. Etkisizleştirilecek sertifikaların, (1) sertifika verenin sertifikayı imzalamak için kullandığı algoritmayı ve (2) sertifikanın verildiği kimlikle ilişkili açık anahtarı içermesi gerekir. Gereksiniminiz olan kesin değerler için bu tablonun geri kalanına bakın. | Hayır | |||||||||
Algorithm | Sertifika verenin sertifikayı imzalamak için kullandığı algoritma. Değerin “sha256” olması gerekir. | “Disable Certificate Transparency enforcement for specific certificates” kullanılıyorsa Evet | |||||||||
Hash of | Sertifikanın verildiği kimlikle ilişkili açık anahtar. | “Disable Certificate Transparency enforcement for specific certificates” kullanılıyorsa Evet | |||||||||
Disable specific domains | Sertifika şeffaflığının etkisizleştirilmiş olduğu alanların listesi. Alt alanları eşlemek için önde bir nokta kullanılabilir ama alan eşleme kuralının en üst düzey alandaki tüm alanları eşlememesi gerekir. (“.com” ve “.co.uk” alanlarına izin verilmez ama “.example.com” ve “.example.co.uk” alanlarına izin verilir). | Hayır | |||||||||
subjectPublicKeyInfo özetini yaratma
Bu politika ayarlandığında Sertifika Şeffaflığı yaptırımının etkisizleştirilebilmesi için subjectPublicKeyInfo özetinin şunlardan biri olması gerekir:
Sertifika Şeffaflığı yaptırımını etkisizleştirmenin birinci yöntemi |
|---|
Sunucu kullanıcı sertifikasındaki |
Sertifika Şeffaflığı yaptırımını etkisizleştirmenin ikinci yöntemi |
|---|
|
Sertifika Şeffaflığı yaptırımını etkisizleştirmenin üçüncü yöntemi |
|---|
|
Belirtilen verileri oluşturma
subjectPublicKeyInfo sözlüğünde şu komutları kullanın:
PEM kodlanmış sertifika:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER kodlanmış sertifika:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Sertifikanızın bir .pem veya .der uzantısı yoksa kodlama türünü belirlemek için şu dosya komutlarını kullanın:
file example_certificate.crtfile example_certificate.cer
Bu özel verinin tam bir örneğini görüntülemek için Sertifika Şeffaflığı özel verisi örneği bölümüne bakın.