Ustawienia obsługiwanego przez MDM pakietu danych Certificate Transparency na urządzeniach Apple
Przy użyciu pakietu danych Certificate Transparency możesz kontrolować działanie wymuszania użycia mechanizmu Certificate Transparency dla użytkowników urządzeń Apple. Ten własny pakiet danych nie wymaga użycia MDM ani obecności numeru seryjnego urządzenia w usłudze Apple School Manager lub Apple Business Manager.
Systemy iOS, iPadOS, macOS, tvOS, watchOS 10 oraz visionOS 1.1 zawierają wymaganie zgodności certyfikatów TLS z mechanizmem Certificate Transparency. Mechanizm Certificate Transparency obejmuje zgłoszenie certyfikatu publicznego serwera do ogólnodostępnego rejestru. Jeśli używasz certyfikatów dla serwerów tylko do użytku wewnętrznego, możesz nie być w stanie wyświetlić tych serwerów, a zatem nie masz możliwości korzystania z mechanizmu Certificate Transparency. W rezultacie wymagania dotyczące mechanizmu Certificate Transparency powodują utratę zaufania do certyfikatów u Twoich użytkowników.
Ten pakiet danych pozwala administratorom urządzeń na selektywne obniżanie wymagania użycia mechanizmu Certificate Transparency w przypadku określonych domen i serwerów wewnętrznych, aby uniknąć wspomnianych problemów przy łączeniu urządzeń z tymi serwerami wewnętrznymi.
Pakiet danych Certificate Transparency obsługuje elementy przedstawione poniżej. Aby uzyskać więcej informacji, zobacz: Informacje o pakietach danych.
Obsługiwany identyfikator pakietu: com.apple.security.certificatetransparency
Obsługiwane systemy operacyjne i kanały: iOS, iPadOS, wspólny iPad (urządzenie), macOS (urządzenie), tvOS, watchOS 10, visionOS 1.1.
Obsługiwane metody rejestracji: rejestracja użytkownika, rejestracja urządzenia, automatyczna rejestracja urządzenia.
Dozwolone duplikaty: Prawda — do urządzenia może zostać dostarczony więcej niż jeden pakiet danych Certificate Transparency.
Artykuł Wsparcia Apple: Zasady Apple dotyczące przejrzystości certyfikatów
Certificate Transparency policy (Zasady dotyczące mechanizmu Certificate Transparency) w witrynie Chromium Project
Z pakietem danych Certificate Transparency możesz użyć ustawień przedstawionych w poniższej tabeli.
Ustawienie | Opis | Wymagane | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates (Wyłącz wymaganie CT dla określonych certyfikatów) | Wybierz tę opcję, aby umożliwić korzystanie z prywatnych, niezaufanych certyfikatów przez wyłączenie wymagania użycia mechanizmu Certificate Transparency. Wybrane certyfikaty muszą zawierać (1) algorytm użyty przez wystawcę do podpisania danego certyfikatu oraz (2) klucz publiczny powiązany z tożsamością, dla której wydany został dany certyfikat. Wymagane wartości znajdują się w dalszej części tabeli. | Nie. | |||||||||
Algorithm (Algorytm) | Algorytm użyty przez wystawcę certyfikatu do jego podpisania. Musi być to wartość „sha256”. | Tak, jeśli włączone jest: Wyłącz wymaganie CT dla określonych certyfikatów. | |||||||||
Skrót | Klucz publiczny powiązany z tożsamością, dla której wystawiony został dany certyfikat. | Tak, jeśli włączone jest: Wyłącz wymaganie CT dla określonych certyfikatów. | |||||||||
Disable specific domains (Wyłącz określone domeny) | Lista domen, dla których wyłączony jest mechanizm Certificate Transparency. Można użyć początkowej kropki, aby dopasować poddomeny, ale reguła nie może dopasowywać wszystkich domen w domenie najwyższego poziomu. (Nie jest dozwolone użycie „.com” lub „.co.uk”, ale można użyć „.betterbag.com” oraz „.betterbag.co.uk”). | Nie. | |||||||||
Uwaga: Każdy dostawca rozwiązań MDM wdraża te ustawienia w inny sposób. Aby dowiedzieć się, jak różne ustawienia pakietu danych Certificate Transparency są stosowane do Twoich użytkowników, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.
Tworzenie skrótu subjectPublicKeyInfo
Aby wyłączyć wymaganie użycia mechanizmu Certificate Transparency gdy włączona jest ta zasada, skrót subjectPublicKeyInfo musi mieć jedną z wartości przedstawionych poniżej:
Pierwszy sposób wyłączenia wymagania użycia mechanizmu Certificate Transparency |
|---|
Podany skrót jest skrótem wartości pola |
Drugi sposób wyłączenia wymagania użycia mechanizmu Certificate Transparency |
|---|
|
Trzeci sposób wyłączenia wymagania użycia mechanizmu Certificate Transparency |
|---|
|
Generowanie wymaganych danych
Użyj następujących poleceń w słowniku subjectPublicKeyInfo:
Certyfikat zakodowany w formacie PEM:
openssl x509 -pubkey -in przykładowy_certyfikat.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certyfikat zakodowany w formacie DER:
openssl x509 -pubkey -in przykładowy_certyfikat.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Jeśli certyfikat ma inne rozszerzenie nazwy pliku, niż .pem lub .der, użyj poniższych poleceń file, aby sprawdzić jego kodowanie:
file przykładowy_certyfikat.crtfile przykładowy_certyfikat.cer
Aby wyświetlić kompletny przykład tego własnego pakietu danych, zobacz: Przykład własnego pakietu danych Certificate Transparency.