Apple 기기의 인증서 투명성 MDM 페이로드 설정
iPhone, iPad, Mac 또는 Apple TV 기기에서 인증서 투명성 적용을 제어하려면 인증서 투명성 페이로드를 사용하십시오. 이 사용자 설정 페이로드는 Apple School Manager, Apple Business Manager 또는 Apple Business Essential에 표시할 MDM 또는 기기의 일련 번호를 필요로 하지 않습니다.
iOS, iPadOS, macOS, tvOS, watchOS 10 및 visionOS 1.1은 TLS 인증을 신뢰할 수 있도록 인증서 투명성 요구 사항이 있습니다. 인증서 투명성은 일반인이 사용할 수 있는 로그에 사용자 서버의 공용 인증서를 제출하는 것을 포함합니다. 내부 전용 서버 인증서를 사용하는 경우 해당 서버를 공개하지 못할 수도 있으며, 그러면 인증서 투명성을 사용할 수 없습니다. 결과적으로 인증서 투명성 요구사항은 사용자에 대해 인증서 신뢰 실패를 유발할 수 있습니다.
이 페이로드는 내부 서버로 통신하는 기기에서의 신뢰 실패를 방지하기 위해 기기 관리자가 선택적으로 내부 도메인 및 서버 인증서 투명성 요구 사항을 낮출 수 있도록 허용합니다.
인증서 투명성 페이로드는 다음을 지원합니다. 자세한 정보는 페이로드 정보를 참조하십시오.
지원되는 페이로드 식별자: com.apple.security.certificatetransparency
지원되는 운영 체제 및 채널: iOS, iPadOS, 공유 iPad 기기, macOS 기기, tvOS, watchOS 10, visionOS 1.1.
지원되는 등록 유형: 사용자 등록, 기기 등록 및 자동 기기 등록.
중복 허용: 참—둘 이상의 인증서 투명성 페이로드가 기기로 전송될 수 있습니다.
인증서 투명성 페이로드로 아래 표의 설정을 사용할 수 있습니다.
설정 | 설명 | 필수사항 | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
특정 인증서에 대해 인증서 투명성 적용 비활성화 | 인증서 투명성 적용을 비활성화하여 신뢰하지 않는 비공개 인증서를 허용하려면 이 옵션을 선택하십시오. 비활성화하려는 인증서는 (1) 인증서에 서명하기 위해 발급자가 사용한 알고리즘 및 (2) 인증서 발급 대상 ID와 관련된 공개 키를 포함해야 합니다. 필요한 특정 값을 보려면 이 표의 나머지 부분을 확인하십시오. | 아니요. | |||||||||
알고리즘 | 발급자가 인증서에 서명하기 위해 사용한 알고리즘입니다. 해당 값은 ‘sha256’이어야 합니다. | 특정 인증서에 대해 인증서 투명성 적용 비활성화를 사용한 경우 가능 | |||||||||
| 인증서 발급 대상 ID와 관련된 공개 키. | 특정 인증서에 대해 인증서 투명성 적용 비활성화를 사용한 경우 가능 | |||||||||
특정 도메인 비활성화 | 인증서 투명성이 비활성화된 도메인 목록. 하위 도메인과 일치시키기 위해 맨 앞에 마침표를 사용할 수 있지만, 도메인 일치 규칙은 상위 레벨 도메인 내의 모든 도메인과 일치해서는 안 됩니다. (‘.com’ 및 ‘.co.uk’는 허용되지 않지만 ‘.betterbag.com’ 및 ‘.betterbag.co.uk’는 허용됨). | 아니요. | |||||||||
참고: 각 MDM 공급업체는 이러한 설정을 다르게 구현합니다. 다양한 인증서 투명성 설정이 사용자의 기기에 적용되는 방식을 알아보려면 MDM 공급업체 문서를 참조하십시오.
subjectPublicKeyInfo의 해시를 생성하는 방법
이 정책을 설정할 때 인증서 투명성 적용을 비활성화하려면 subjectPublicKeyInfo 해시는 다음 중 하나여야 합니다.
인증서 투명성 적용을 비활성화하기 위한 첫 번째 방법 |
|---|
서버 리프 인증서의 |
인증서 투명성 적용을 비활성화하기 위한 두 번째 방법 |
|---|
|
인증서 투명성 적용을 비활성화하기 위한 세 번째 방법 |
|---|
|
특정 데이터를 생성하는 방법
subjectPublicKeyInfo 사전에서 다음 명령을 사용하십시오.
PEM 인코딩된 인증서:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER 인코딩된 인증서:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
인증서에 .pem 또는 .der 확장자가 없는 경우, 다음 파일 명령을 사용하여 인코딩 유형을 식별하십시오.
file example_certificate.crtfile example_certificate.cer
이 사용자 설정 페이로드의 전체 예시를 보려면 인증서 투명성 사용자 설정 페이로드 예시를 참조하십시오.