Apple 裝置的「憑證透明度」承載資料設定
使用「憑證透明度」承載資料來在 iPhone、iPad、Mac 或 Apple TV 裝置上控制「憑證透明度」強制執行的動作。此自訂承載資料不需要 MDM 或在 Apple School Manager 或 Apple Business Manager 中註冊。
iOS、iPadOS、macOS 和 tvOS 加入了新的「憑證透明度」需求,讓 TLS 憑證可被信任。「憑證透明度」包含將伺服器的公開憑證傳送到公開的記錄檔。為內部專用伺服器使用憑證的組織可能無法揭示這些伺服器,因此該組織將無法使用「憑證透明度」。而憑證透明度需求對同一組織內的使用者也會造成憑證信任失敗。
此承載資料可讓裝置管理者針對內部網域選擇性降低「憑證透明度」需求,以避免需與內部伺服器通訊的裝置發生信任失敗。請參閱:
作業系統與頻道 | 支援的註冊類型 | 互動 | 重複項目 |
|---|---|---|---|
iOS iPadOS tvOS macOS 裝置 | 使用者 裝置 自動化裝置 | 合併 | 多項 |
設定 | 說明 | 必要 |
|---|---|---|
針對特定憑證停用「憑證透明度」強制執行 | 選擇此選項來停用「憑證透明度」強制執行,以允許私人、不受信任的憑證。要停用的憑證必須包含(1)簽發人用來簽署憑證的演算法以及(2)與憑證簽發對象的識別身分綁定的公用密鑰。針對您所需的特定值,請參閱此表的其他部分。 | 否 |
演算法 | 簽發人用來簽署憑證的演算法。值必須為「sha256」。 | 是(若針對特定憑證停用「憑證透明度」強制執行) |
| 與憑證簽發對象的識別身分綁定的公用密鑰。 | 是(若針對特定憑證停用「憑證透明度」強制執行) |
停用特定網域 | 已停用憑證透明度的網域列表。可使用前置句號來比對子網域,但網域比對規則不得符合最上層網域內的所有網域。(不允許「.com」和「.co.uk」,但允許「.example.com」和「.example.co.uk」)。 | 否 |
如何製作 subjectPublicKeyInfo 的雜湊值
為了在設定此規則時停用「憑證透明度」強制執行,subjectPublicKeyInfo 雜湊值必須為以下其中之一:
停用「憑證透明度」強制執行的第一個方法 |
|---|
伺服器分葉憑證 |
停用「憑證透明度」強制執行的第二個方法 |
|---|
|
停用「憑證透明度」強制執行的第三個方法 |
|---|
|
如何產生特定資料
在 subjectPublicKeyInfo 辭典中,使用以下指令:
PEM 編碼憑證:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER 編碼憑證:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
若您的憑證未包含 .pem 或 .der 副檔名,請使用以下檔案指令來識別其編碼類型:
file example_certificate.crtfile example_certificate.cer
若要檢視此自訂承載資料的完整範例,請參閱:「憑證透明度」自訂承載資料範例。