MDM-inställningar för nyttolasten Certificate Transparency för Apple-enheter

Använd nyttolasten Certificate Transparency till att styra beteendet för efterlevnad av Certificate Transparency på iPhone-, iPad-, Mac- eller Apple TV-enheter. Den här anpassade nyttolasten kräver varken MDM eller att enhetens serienummer finns i Apple School Manager, Apple Business Manager eller Apple Business Essentials.

iOS, iPadOS, macOS, tvOS, watchOS 10 och visionOS 1.1 har krav för Certificate Transparency så att TLS-certifikat kan bli betrodda. Certificate Transparency omfattar att skicka din servers offentliga certifikat till en logg som är tillgänglig för allmänheten. Om du använder certifikat endast för interna servrar kanske du inte kan visa de servrarna, och i ett sådant fall kan du inte använda Certificate Transparency. För användarna innebär kraven för Certificate Transparency att certifikat inte blir betrodda.

Med den här nyttolasten kan enhetsadministratörer välja att sänka kraven för Certificate Transparency för interna domäner och servrar så att enheter som kommunicerar med de interna servrarna blir betrodda.

Nyttolasten Certificate Transparency stöder följande. Mer information finns i Nyttolastinformation.

Nyttolastidentifierare som stöds: com.apple.security.certificatetransparency
Operativsystem och kanaler som stöds: iOS, iPadOS, Delad iPad-enhet, macOS-enhet, tvOS, watchOS 10, visionOS 1.1.
Registreringstyper som stöds: användarregistrering, enhetsregistrering, automatisk enhetsregistrering.
Dubbletter tillåts: Sant – fler än en Certificate Transparency-nyttolast kan levereras till en enhet.

Du kan använda inställningarna i tabellen nedan med nyttolasten Certificate Transparency.

Inställning	Beskrivning	Krävs
Disable Certificate Transparency enforcement for specific certificates	Markera det här alternativet om du vill tillåta privata certifikat som inte är betrodda genom att avaktivera efterlevnaden av Certificate Transparency. Certifikaten som ska avaktiveras måste innehålla (1) algoritmen som utfärdaren använde till att signera certifikatet och (2) den offentliga nyckel som är associerad med identiteten som certifikatet är utfärdat till. Du hittar de specifika värden som behövs i resten av den här tabellen.	Nej.
Algorithm	Algoritmen som utfärdaren använde till att signera certifikatet. Värdet måste vara ”sha256”.	Ja ifall ”Disable Certificate Transparency enforcement for specific certificates” används.
Hash of `subjectPublicKeyInfo`	Den offentliga nyckel som är associerad med identiteten som certifikatet är utfärdat till.	Ja ifall ”Disable Certificate Transparency enforcement for specific certificates” används.
Disable specific domains	En lista över domäner där Certificate Transparency är avaktiverad. En inledande punkt kan används till att matcha underdomäner, men en regel för domänmatchning måste inte matcha alla domäner inom en toppnivådomän. (”.com” och ”.co.uk” tillåts inte, men ”.betterbag.com” och ”.betterbag.co.uk” tillåts).	Nej.

Obs! Olika MDM-leverantörer implementerar de här inställningarna på olika sätt. Läs dokumentationen från MDM-leverantören om du vill veta hur olika Certificate Transparency-inställningar används för dina enheter.

Skapa hashen för subjectPublicKeyInfo

Om du vill kunna avaktivera efterlevnad av Certificate Transparency när den här policyn är inställd måste hashen för subjectPublicKeyInfo vara någon av följande:

Den första metoden som avaktiverar efterlevnad av Certificate Transparency
En hash med serverbladscertifikatets värde för `subjectPublicKeyInfo`.

Den andra metoden som avaktiverar efterlevnad av Certificate Transparency
Hashen kommer från ett `subjectPublicKeyInfo`-fält i rotcertifikatet eller något mellanliggande certifikat i certifikatkedjan. Rot- eller mellanliggande certifikatet begränsas via X.509v3-tillägget `nameConstraints`. Ett eller flera `directoryName` `nameConstraints` finns i `permittedSubtrees`. `directoryName` innehåller ett `organizationName`-attribut.

Den tredje metoden som avaktiverar efterlevnad av Certificate Transparency
Hashen kommer från ett `subjectPublicKeyInfo`-fält i rotcertifikatet eller något mellanliggande certifikat i certifikatkedjan. Rot- eller mellanliggande certifikatet har ett eller flera `organizationName`-attribut i certifikatets Subject. Serverbladscertifikatet innehåller samma antal `organizationName`-attribut i samma ordning och är en exakt matchning med identiska värden byte för byte.

Generera specificerade data

Använd följande kommandon i ordboken subjectPublicKeyInfo:

PEM encoded certificate: openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
DER encoded certificate: openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Om ditt certifikat inte har ett .pem- eller .der-tillägg kan du identifiera dess kodningstyp med följande filkommandon:

file example_certificate.crt
file example_certificate.crt

Om du vill se ett fullständigt exempel på den här anpassade nyttolasten läser du Exempel på en anpassad nyttolast för Certificate Transparency.

Se ävenIntroduktion till MDM-profiler Planera dina konfigurationsprofiler för Apple-enheter Apple Developer-webbplatsen: Certificate Transparency

Var detta till hjälp?

Driftsättning av Apple-plattformar

MDM-inställningar för nyttolasten Certificate Transparency för Apple-enheter

Skapa hashen för subjectPublicKeyInfo

Generera specificerade data