Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
Apple 裝置的「憑證透明度」MDM 承載資料設定
使用「憑證透明度」承載資料來在 iPhone、iPad、Mac 或 Apple TV 裝置上控制「憑證透明度」強制執行的動作。此自訂承載資料不需要 MDM 或裝置的序號在「Apple 校務管理」、「Apple 商務管理」或「Apple 商務必備」中顯示。
iOS、iPadOS、macOS、tvOS、watchOS 10 和 visionOS 1.1 包含「憑證透明度」需求,讓 TLS 憑證可受信任。「憑證透明度」包含將伺服器的公開憑證傳送到公開的記錄檔。若你使用內部專用伺服器的憑證,你可能無法顯示這些伺服器,因此將無法使用「憑證透明度」。如此一來,「憑證透明度」需求將造成你的使用者憑證信任失敗。
此承載資料可讓裝置管理者針對內部網域選擇性降低「憑證透明度」需求,以避免需與內部伺服器通訊的裝置發生信任失敗。
「憑證透明度」承載資料支援以下項目。如需更多資訊,請參閱:承載資料資訊。
支援的承載資料識別碼:com.apple.security.certificatetransparency
支援的作業系統和頻道:iOS、iPadOS、「共享的 iPad」裝置、macOS 裝置、tvOS、watchOS 10、visionOS 1.1。
支援的註冊類型:「使用者註冊」、「裝置註冊」、「自動裝置註冊」。
允許的重複項目:True:多個「憑證透明度」承載資料可以傳送到裝置。
你可以搭配「憑證透明度」承載資料使用下表中的設定。
設定 | 說明 | 必要 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
針對特定憑證停用「憑證透明度」強制執行 | 選取此選項來停用「憑證透明度」強制執行,以允許私人、不受信任的憑證。要停用的憑證必須包含(1)簽發人用來簽署憑證的演算法以及(2)與憑證核發對象的識別身分綁定的公用密鑰。針對你所需的特定值,請參閱此表的其他部分。 | 否。 | |||||||||
演算法 | 簽發人用來簽署憑證的演算法。值必須為「sha256」。 | 若針對特定憑證停用「憑證透明度」強制執行則為是。 | |||||||||
| 與憑證核發對象的識別身分綁定的公用密鑰。 | 若針對特定憑證停用「憑證透明度」強制執行則為是。 | |||||||||
停用特定網域 | 已停用憑證透明度的網域列表。可使用前置句號來比對子網域,但網域比對規則不得符合最上層網域內的所有網域。(不允許「.com」和「.co.uk」,但允許「.betterbag.com」和「.betterbag.co.uk」)。 | 否。 | |||||||||
【注意】各 MDM 廠商對這些設定的實作方式有所不同。若要瞭解各種「憑證透明度」設定如何套用到裝置,請參閱 MDM 廠商的文件。
如何製作 subjectPublicKeyInfo 的雜湊值
為了在設定此規則時停用「憑證透明度」強制執行,subjectPublicKeyInfo 雜湊值必須為以下其中之一:
停用「憑證透明度」強制執行的第一個方法 |
|---|
伺服器分葉憑證 |
停用「憑證透明度」強制執行的第二個方法 |
|---|
|
停用「憑證透明度」強制執行的第三個方法 |
|---|
|
如何產生特定資料
在 subjectPublicKeyInfo 辭典中,使用以下指令:
PEM 編碼憑證:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER 編碼憑證:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
若你的憑證未包含 .pem 或 .der 副檔名,請使用以下檔案指令來識別其編碼類型:
file example_certificate.crtfile example_certificate.cer
若要檢視此自訂承載資料的完整範例,請參閱:「憑證透明度」自訂承載資料範例。