Réglages des données utiles MDM Certificate Transparency pour les appareils Apple
Utilisez les données utiles « Certificate Transparency » pour contrôler le comportement de l’application de la transparence du certificat sur des appareils iPhone, iPad, Mac ou Apple TV. Ces données utiles personnalisées ne requièrent pas de solution MDM ni le numéro de série de l’appareil pour s’afficher dans Apple School Manager, Apple Business Manager ou Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 et visionOS 1.1 imposent des exigences en matière de transparence des certificats, afin que les certificats TLS soient approuvés. « Certificate Transparency » implique l’envoi du certificat public de votre serveur vers un journal qui est accessible au public. Si vous utilisez des serveurs uniquement internes, il est possible que vous ne soyez pas en mesure d’afficher ces serveurs. Ainsi, vous ne serez pas en mesure d’utiliser la transparence du certificat. En conséquence, les exigences en matière de transparence du certificat entraîneront des échecs d’approbation de certificat pour vos utilisateurs.
Ces données utiles permettent aux administrateurs de l’appareil de rabaisser certaines exigences en matière de transparence du certificat pour des domaines et des serveurs internes, pour éviter les échecs d’approbation sur les appareils communiquant avec les serveurs internes.
Les données utiles « Certificate Transparency » prennent en charge ce qui suit. Pour plus d’informations, consultez la section Informations relatives aux données utiles.
Identifiant des données utiles pris en charge : com.apple.security.certificatetransparency
Systèmes d’exploitation et canaux pris en charge : iOS, iPadOS, appareil iPad partagé, appareil macOS, tvOS, watchOS 10, visionOS 1.1.
Types d’inscriptions prises en charge : Inscription d’utilisateurs, Inscription d’appareils, Inscription automatisée d’appareils.
Doublons autorisés : Vrai, plusieurs ensembles de données utiles « Certificate Transparency » peuvent être fournis à un appareil.
Article d’assistance Apple : Politique Certificate Transparency d’Apple
Règles en matière de Transparence du certificat sur le site web Chromium Project
Vous pouvez utiliser les réglages du tableau ci-dessous avec les données utiles « Certificate Transparency ».
Réglage | Description | Requis | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Désactiver l’application de « Certificate transparency » pour certains certificats spécifiques | Sélectionnez cette option pour autoriser des certificats privés et non approuvés en désactivant l’application de transparence du certificat. Les certificats à désactiver doivent contenir (1) l’algorithme utilisé par l’émetteur pour signer le certificat et (2) la clé publique qui est associée à l’identité auprès de laquelle ce certificat est émis. Pour découvrir les valeurs spécifiques dont vous avez besoin, consultez le reste de ce tableau. | Non. | |||||||||
Algorithme | L’algorithme utilisé par l’émetteur pour signer le certificat. La valeur doit être « sha256 ». | Oui, si l’option de désactivation de l’application de la transparence des certificats est utilisée pour certains certificats. | |||||||||
Hachage de | La clé publique associée à l’identité à laquelle ce certificat est émis. | Oui, si l’option de désactivation de l’application de la transparence des certificats est utilisée pour certains certificats. | |||||||||
Désactiver certains domaines spécifiques | Une liste de domaines pour lesquels la transparence du certificat est désactivée. Une certaine durée peut être utilisée pour faire correspondre les sous-domaines, mais une règle pour la correspondance de domaines ne doit pas faire correspondre tous les domaines au sein d’un domaine de niveau supérieur. (« .com » et « .co.uk » ne sont pas autorisés, mais « .betterbag.com » et « .betterbag.co.uk » le sont). | Non. | |||||||||
Remarque : chaque fournisseur de solution MDM met en œuvre ces réglages de sa propre façon. Pour découvrir comment les différents réglages « Certificate Transparency » sont appliqués à vos appareils, consultez la documentation de votre fournisseur de solution MDM.
Créer le hachage de subjectPublicKeyInfo
Pour que l’application de transparence du certificat soit désactivée lorsque cette règle est configurée, le hachage de subjectPublicKeyInfo doit correspondre à l’un des éléments suivants :
La première méthode permettant de désactiver l’application de transparence du certificat |
|---|
Un hachage de la valeur |
La deuxième méthode permettant de désactiver l’application de transparence du certificat |
|---|
|
La troisième méthode permettant de désactiver l’application de transparence du certificat |
|---|
|
Générer les données indiquées
Dans le dictionnaire subjectPublicKeyInfo , utilisez les commandes suivantes :
Certificat encodé selon les règles PEM :
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificat encodé selon les règles DER :
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Si votre certificat ne possède pas d’extension .pem ni .der, utilisez les commandes de fichier suivantes pour identifier son type d’encodage :
fichier example_certificate.crtfichier example_certificate.cer
Pour découvrir un exemple complet de ces données utiles, consultez la rubrique Exemple de données utiles personnalisées Transparence du certificat.