Configurările sarcinii MDM Transparență certificat pentru dispozitivele Apple
Utilizați sarcina Transparență certificat pentru a controla conduita constrângerii Transparență certificat pe dispozitivele iPhone, iPad, Mac sau Apple TV. Această sarcină personalizată nu necesită ca numărul serial MDM sau al dispozitivului să apară în Apple School Manager, Apple Business Manager sau Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 și visionOS 1.1 au cerințe de transparență a certificatelor pentru a acorda încredere certificatelor TLS. Transparența certificatelor implică trimiterea certificatului public al serverului dvs. într‑un jurnal care este disponibil pentru public. Dacă utilizați certificate pentru servere exclusiv interne, este posibil să nu puteți dezvălui existența serverelor respective, prin urmare nu veți putea utiliza transparența certificatelor. În consecință, cerințele Transparență certificat vor provoca eșecuri de acordare a încrederii în certificate pentru utilizatorii dvs.
Această sarcină le permite administratorilor dispozitivelor să diminueze selectiv cerințele Transparență certificat pentru domeniile și serverele interne pentru a evita acele eșecuri de acordare a încrederii pe dispozitivele care comunică cu serverele interne.
Sarcina Transparență certificat este compatibilă cu următoarele. Pentru mai multe informații, consultați Informațiile sarcinii.
Identificator acceptat pentru sarcină: com.apple.security.certificatetransparency
Sisteme de operare și canale compatibile: iOS, iPadOS, dispozitiv iPad partajat, dispozitiv macOS, tvOS, watchOS 10, visionOS 1.1.
Tipuri de înscriere acceptate: înscrierea utilizatorilor, înscrierea dispozitivelor, înscrierea automată a dispozitivelor.
Duplicate permise: Adevărat - mai multe sarcini Transparență certificat pot fi livrate unui dispozitiv.
Articolul de asistență Apple: Politica Apple privind transparența certificatelor
Politica de transparență a certificatelor pe site-ul web Chromium Project
Puteți utiliza configurările din tabelul de mai jos cu sarcina Transparență certificat.
Configurare | Descriere | Obligatoriu | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Selectați această opțiune pentru a permite certificate private, cărora nu li s‑a acordat încredere, prin dezactivarea constrângerii Transparență certificat. Certificatele de dezactivat trebuie să conțină (1) algoritmul care a fost utilizat de emitent pentru a semna certificatul și (2) cheia publică asociată cu identitatea pentru care a fost emis certificatul. Pentru valorile specifice de care aveți nevoie, consultați continuarea acestui tabel. | Nu. | |||||||||
Algorithm | Algoritmul care a fost utilizat de emitent pentru a semna certificatul. Valoarea trebuie să fie “sha256”. | Da, dacă se utilizează “Disable Certificate Transparency enforcement for specific certificates”. | |||||||||
Hash‑ul pentru | Cheia publică asociată cu identitatea pentru care a fost emis certificatul. | Da, dacă se utilizează “Disable Certificate Transparency enforcement for specific certificates”. | |||||||||
Disable specific domains | O listă de domenii unde transparența certificatelor este dezactivată. Un punct anterior poate fi utilizat pentru a include subdomenii, dar o regulă de corespondență a domeniilor trebuie să nu includă toate domeniile din cadrul unui domeniu de nivel superior. (“.com” și “.co.uk” nu sunt permise, dar “.betterbag.com” și “.betterbag.co.uk” sunt permise). | Nu. | |||||||||
Notă: Fiecare furnizor MDM implementează aceste configurări în mod diferit. Pentru a afla cum sunt aplicate diferitele configurări Transparență certificat pentru dispozitivele dvs., consultați documentația oferită de furnizorul soluției MDM.
Cum se creează hash‑ul pentru subjectPublicKeyInfo
Pentru a dezactiva constrângerea Transparență certificat atunci când este fixată această politică, hash‑ul subjectPublicKeyInfo trebuie să fie una dintre următoarele:
Prima metodă pentru dezactivarea constrângerii Transparență certificat |
|---|
Un hash al valorii |
A doua metodă pentru dezactivarea constrângerii Transparență certificat |
|---|
|
A treia metodă pentru dezactivarea constrângerii Transparență certificat |
|---|
|
Cum se generează datele specificate
În dicționarul subjectPublicKeyInfo, utilizați una dintre următoarele comenzi:
Certificat codat PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificat codat DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Dacă certificatul dvs. nu are o extensie .pem sau .der, utilizați următoarele comenzi de fișier pentru a‑i identifica tipul de codare:
file example_certificate.crtfile example_certificate.cer
Pentru a vizualiza un exemplu complet al acestei sarcini personalizate, consultați Exemplu de sarcină personalizată de transparență a certificatului.