Apple 裝置的「證書透明度」承載資料設定
使用「證書透明度」承載資料來控制「證書透明度」在 iPhone、iPad、Mac 或 Apple TV 裝置上的執行動作。此自訂承載資料不需要 MDM 或在 Apple School Manager 或 Apple Business Manager 中註冊。
iOS、iPadOS、macOS 和 tvOS 已加入新的「證書透明度」要求,以便讓 TLS 證書受信任。「證書透明度」涉及將伺服器的公用證書提交至公開記錄的動作。如機構的證書只使用於僅限內部的伺服器,就可能無法看見這些伺服器,因而無法使用「證書透明度」。對於相同機構的用户,證書透明度要求也會導致證書信任失敗。
此承載資料可讓裝置管理員局部降低內部網域和伺服器的「證書透明度」要求,以避免裝置與內部伺服器通訊上的信任失敗。請參閱:
OS 與頻道 | 支援的註冊類型 | 互動 | 重複項目 |
|---|---|---|---|
iOS iPadOS tvOS macOS 裝置 | 用户 裝置 自動裝置 | 合併 | 多重 |
設定 | 說明 | 必要 |
|---|---|---|
對特定證書停用「證書透明度」執行 | 選擇此選項以透過停用「證書透明度」執行來允許私人且未受信任的證書。被停用的證書必須含有(1)簽發人用於簽署證書的演算法,以及(2)與接收該證書之識別身份關聯的公用密鑰。如要了解所需的特定值,請參閱此表格的其餘部分。 | 否 |
演算法 | 簽發人用於簽署證書的演算法。值必須為「sha256」。 | 如已對特定證書使用「停用證書透明度」執行,則為「是」 |
| 與接收該證書之識別身份關聯的公用密鑰。 | 如已對特定證書使用「停用證書透明度」執行,則為「是」 |
停用特定網域 | 已停用證書透明度的網域列表。前置句點可用於配對子網域,但網域配對規則不得符合頂層網域中的所有網域。(不允許「.com」和「.co.uk」,但允許「.example.com」和「.example.co.uk」)。 | 否 |
製作 subjectPublicKeyInfo 雜湊的方式
如要在設定此規則時停用「證書透明度」執行,subjectPublicKeyInfo 雜湊必須是以下其中一個:
停用「證書透明度」執行的第一種方式 |
|---|
伺服器葉證書 |
停用「證書透明度」執行的第二種方式 |
|---|
|
停用「證書透明度」執行的第三種方式 |
|---|
|
產生特定數據的方式
在 subjectPublicKeyInfo 辭典中,使用下列指令:
PEM 編碼證書:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER 編碼證書:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
如果你的證書沒有 .pem 或 .der 副檔名,請使用下列檔案指令來識別其編碼類型:
file example_certificate.crtfile example_certificate.cer
如要檢視此自訂承載資料的完整範例,請參閱「證書透明度」自訂承載資料範例。