Apple डिवाइस के लिए सर्टिफ़िकेट पारदर्शिता MDM पेलोड सेटिंग्ज़
iPhone, iPad, Mac या Apple TV पर सर्टिफ़िकेट ट्रांसपरेंसी इन्फ़ोर्समेंट का व्यवहार नियंत्रित करने के लिए सर्टिफ़िकेट ट्रांसपरेंसी पेलोड का उपयोग करें। इस कस्टम पेलोड को MDM या डिवाइस की क्रमांक संख्या को Apple School Manager, Apple Business Manager या Apple Business Essentials में दिखाई देने की आवश्यकता नहीं है।
iOS, iPadOS, macOS, tvOS, watchOS 10 और visionOS 1.1 ने TLS सर्टिफ़िकेट विश्वस्त होने के लिए नई सर्टिफ़िकेट पारदर्शिता आवश्यकताएँ हैं। सर्टिफ़िकेट ट्रांसपरेंसी में आपके सर्वर के पब्लिक सर्टिफ़िकेट लॉग को सबमिट करना शामिल होता है जो सार्वजनिक रूप से उपलब्ध हैं। यदि आप आंतरिक-मात्र सर्वर के लिए सर्टिफ़िकेट इस्तेमाल करते हैं, तो शायद आप उन सर्वर की मौजूदगी को दिखा नहीं सके इसलिए सर्टिफ़िकेट ट्रांसपरेंसी का उपयोग नहीं कर पाएँगे। परिणाम के तौर पर, आपके यूज़र के लिए सर्टिफ़िकेट ट्रांसपरेंसी आवश्यकताएँ भी सर्टिफ़िकेट विश्वास को विफल बनाने का कारण बनेंगी।
यह पेलोड डिवाइस ऐडमिनिस्ट्रेटर को आंतरिक डोमेन और सर्वर के लिए चयनित रूप से सर्टिफ़िकेट पारदर्शिता आवश्यकता कम करने की अनुमति देता है ताकि आंतरिक सर्वर से संपर्क करने वाले डिवाइस पर से भरोसा हटने से बचा जा सके।
सर्टिफ़िकेट ट्रांसपरेंसी पेलोड निम्नलिखित का समर्थन करता है। अधिक जानकारी के लिए, पेलोड जानकारी देखें।
समर्थित पेलोड आइडेंटिफ़ायर : com.apple.security.certificatetransparency
समर्थित ऑपरेटिंग सिस्टम और चैनल : iOS, iPadOS, शेयर किया गया iPad डिवाइस, macOS डिवाइस, tvOS, watchOS 10, visionOS 1.1
समर्थित नामांकन प्रकार : यूज़र नामांकन, डिवाइस नामांकन, ऑटोमेटेड डिवाइस नामांकन।
नक़ल की अनुमति है : सही—एक से अधिक सर्टिफ़िकेट ट्रांसपरेंसी पेलोड डिवाइस को डिलीवर किए जा सकते हैं।
आप नीचे टेबल में सेटिंग्ज़ का उपयोग सर्टिफ़िकेट ट्रांसपरेंसी पेलोड के साथ कर सकते हैं।
सेट किया जा रहा है | वर्णन | आवश्यक | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
विशिष्ट सर्टिफ़िकेट के लिए सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम करें | सर्टिफ़िकेट पारदर्शिता का प्रवर्तन अक्षम करके निजी, अविश्वसनीय सर्टिफ़िकेट को अनुमति देने के लिए यह विकल्प चुनें। अक्षम किए जाने वाले सर्टिफ़िकेट में शामिल होने चाहिए (1) सर्टिफ़िकेट साइन करने के लिए जारीकर्ता द्वारा इस्तेमाल किया गया ऐल्गॉरिद्म और (2) सार्वजनिक की जो सर्टिफ़िकेट जारी किए गए व्यक्ति से संबंधित है। अपने विशिष्ट मानों की आवश्यकता के लिए बचा हुआ टेबल देखें। | नहीं। | |||||||||
ऐल्गॉरिद्म | ऐल्गोरिद्म जिसका उपयोग जारीकर्ता द्वारा सर्टिफ़िकेट को साइन करने के लिए किया गया था। मान “sha256” होना चाहिए। | हाँ, यदि विशिष्ट सर्टिफ़िकेट के लिए “सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम करें” का उपयोग किया गया है। | |||||||||
| पब्लिक की जो सर्टिफ़िकेट जारी किए गए व्यक्ति से संबंधित है। | हाँ, यदि विशिष्ट सर्टिफ़िकेट के लिए “सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम करें” का उपयोग किया गया है। | |||||||||
विशिष्ट डोमेन अक्षम करें | डोमेन की सूची जहाँ सर्टिफ़िकेट पारदर्शिता अक्षम की गई है। सबडोमेन के मिलान के लिए एक प्रमुख अवधि का उपयोग किया जा सकता है, लेकिन डोमेन मिलान नियम को हर डोमेन का मिलान उच्च स्तरीय डोमेन से नहीं करना चाहिए। (“.com” और “.co.uk” को अनुमित नहीं है लेकिन “.betterbag.com” और “.betterbag.co.uk” को अनुमति है।) | नहीं। | |||||||||
नोट : प्रत्येक MDM वेंडर इन सेटिंग्ज़ को अलग-अलग तरीक़ों से लागू करता है। यह जानने के लिए कि आपके डिवाइस पर विभिन्न सर्टिफ़िकेट ट्रांसपरेंसी सेटिंग्ज़ कैसे लागू की जाती हैं, अपने MDM वेंडर के दस्तावेज़ देखें।
subjectPublicKeyInfo का हैश कैसे बनाएँ
यह नीति सेट होने पर सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम होने के लिए subjectPublicKeyInfo हैश निम्न में से एक होना चाहिए :
सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम करने की पहली विधि |
|---|
सर्वर लीफ़ सर्टिफ़िकेट के हैश का |
सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम करने की दूसरी विधि |
|---|
|
सर्टिफ़िकेट पारदर्शिता प्रवर्तन अक्षम करने की तीसरी विधि |
|---|
|
निर्दिष्ट डेटा जनरेट कैसे करें
subjectPublicKeyInfo शब्दकोश में निम्न कमांड का उपयोग करें:
PEM एनकोड किया गया सर्टिफ़िकेट :
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64DER एनकोड किया गया सर्टिफ़िकेट :
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
यदि आपके सर्टिफ़िकेट को .pem या .der एक्सटेंशन नहीं है, इसका एनकोडिंग प्रकार पहचानने के लिए निम्नलिखित फ़ाइल कमांड का उपयोग करें :
file example_certificate.cerfile example_certificate.cer
इस कस्टम पेलोड का पूरा उदाहरण देखने के लिए सर्टिफ़िकेट पारदर्शिता कस्टम पेलोड उदाहरण देखें।