Definições de carga útil de MDM de transparência do certificado para dispositivos Apple
Use a carga útil de transparência do certificado para controlar o comportamento da aplicação da transparência do certificado em dispositivos iPhone, iPad, Mac ou Apple TV. Esta carga útil personalizada não requer MDM nem que o número de série do dispositivo apareça no Apple School Manager, Apple Business Manager ou Apple Business Essentials.
O iOS, iPadOS, macOS, tvOS e watchOS 10 e o visionOS 1.1 têm novos requisitos de Transparência do certificado para os certificados TLS serem considerados fidedignos. A Transparência do certificado implica enviar o certificado público de um servidor a um registo à disposição do público. Se usar certificados para servidores exclusivamente internos, pode não conseguir mostrar esses servidores e, por isso, não conseguir usar a transparência do certificado. Como resultado, os requisitos de transparência do certificado podem causar falhas de fidedignidade aos utilizadores.
Esta carga útil permite que os administradores de dispositivos diminuam seletivamente os requisitos de Transparência do certificado para domínios e servidores internos, para evitar essas falhas de fidedignidade em dispositivos que comunicam com os servidores internos.
A carga útil de transparência do certificado suporta o seguinte. Encontrará informação adicional em Informação sobre a carga útil.
Identificador de carga útil suportado: com.apple.security.certificatetransparency
Sistemas operativos e canais compatíveis: iOS, iPadOS, dispositivo iPad partilhado, dispositivo macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de registo suportados: registo do utilizador, registo do dispositivo, registo automático de dispositivos.
Duplicados permitidos: verdadeiro — várias cargas úteis de transparência do certificado podem ser entregues a um dispositivo.
Artigo do Suporte Apple: Política de Transparência do certificado da Apple
Política de Transparência do certificado no site do Chromium Project
É possível usar as definições da tabela abaixo com a carga útil de transparência do certificado.
Definição | Descrição | Necessário | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates (Desativar aplicação da Transparência do certificado para certificados específicos) | Selecione esta opção para permitir certificados privados e não fidedignos ao desativar a aplicação da Transparência do certificado. Os certificados a desativar têm de conter (1) o algoritmo usado pelo emissor para assinar o certificado e (2) a chave pública associada à identidade para a qual o certificado foi emitido. Para saber quais são os valores específicos de que necessita, consulte o resto da tabela. | Não. | |||||||||
Algorithm (Algoritmo) | O algoritmo que foi usado pelo emissor para assinar o certificado. O valor tem de ser “sha256”. | Sim, se for utilizada a definição “Disable Certificate Transparency enforcement for specific certificates” (Desativar aplicação da Transparência do certificado para certificados específicos) | |||||||||
Hash de | A chave pública associada à identidade para a qual o certificado foi emitido. | Sim, se for utilizada a definição “Disable Certificate Transparency enforcement for specific certificates” (Desativar aplicação da Transparência do certificado para certificados específicos) | |||||||||
Disable specific domains (Desativar domínios específicos) | Uma lista de domínios em que a Transparência do certificado está desativada. Pode ser utilizado um ponto inicial para a correspondência de subdomínios, mas não é obrigatório que uma regra de correspondência de domínios corresponda a todos os domínios de um domínio de nível superior. (“.com” e “.co.uk” não são permitidos, mas “.betterbag.com” e “.betterbag.co.uk” são permitidos). | Não. | |||||||||
Nota: cada fornecedor de MDM implementa essas definições de forma diferente. Para saber como as várias definições de transparência do certificado são aplicadas aos seus dispositivos, consulte a documentação do seu fornecedor de MDM.
Como criar o hash de subjectPublicKeyInfo
Para a aplicação da Transparência do certificado ser desativada quando esta política está definida, o hash de subjectPublicKeyInfo tem de ser um dos seguintes:
O primeiro método para desativar a aplicação da Transparência do certificado |
|---|
Um hash do valor |
O segundo método para desativar a aplicação da Transparência do certificado |
|---|
|
O terceiro método para desativar a aplicação da Transparência do certificado |
|---|
|
Como gerar os dados especificados
No dicionário subjectPublicKeyInfo, use os seguintes comandos:
Certificado com codificação PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificado com codificação DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Se o certificado não tiver uma extensão .pem ou .der, use os seguintes comandos file para identificar o tipo de codificação:
file example_certificate.crtfile example_certificate.cer
Encontrará um exemplo completo desta carga útil personalizada em Exemplo de carga útil personalizada da transparência do certificado.