Impostazioni del payload MDM “Trasparenza del certificato” per i dispositivi Apple
Usa il payload “Trasparenza del certificato” per controllare il comportamento dell’impostazione della trasparenza del certificato su iPhone, iPad, Mac o Apple TV. Questo payload personalizzato non richiede MDM né che compaia il numero di serie del dispositivo in Apple School Manager, Apple Business Manager o Apple Business Essentials.
Perché i certificati TLS vengano considerati attendibili, iOS, iPadOS, macOS, tvOS, watchOS 10 e visionOS 1.1 devono prevedere dei requisiti di trasparenza. Per la trasparenza del certificato occorre inviare un certificato pubblico del server a un log che sia disponibile pubblicamente. Se si utilizzi certificati per server solo interni, potresti non essere in grado di mostrare tali server e quindi potresti non riuscire a utilizzare la trasparenza del certificato. Di conseguenza, i requisiti di trasparenza dei certificati causeranno anche problemi di inaffidabilità del certificato per gli utenti.
Questo payload consente agli amministratori del dispositivo di diminuire in modo selettivo i requisiti di trasparenza del certificato per i server e i domini interni in modo da evitare errori di attendibilità per i dispositivi che comunicano su server interni.
Il payload “Trasparenza del certificato” supporta quanto segue. Per ulteriori informazioni, consulta Informazioni payload.
Identificatore payload supportato: com.apple.security.certificatetransparency
Sistemi operativi supportati e canali: iOS, iPadOS, iPad condiviso, dispositivo macOS, tvOS, watchOS 10, visionOS 1.1.
Tipi di registrazione supportati: registrazione utente, registrazione dispositivo, registrazione automatica del dispositivo.
Duplicati consentiti: vero: è possibile fornire più di un payload “Trasparenza del certificato” a un dispositivo.
Articolo del supporto Apple: Politica sulla trasparenza dei certificati di Apple
Politica di trasparenza dei certificati sul sito web di Chromium Project
Puoi utilizzare le impostazioni nella tabella di seguito con il payload “Trasparenza del certificato”.
Impostazione | Descrizione | Richiesta | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disabilita impostazione trasparenza certificato per certificati specifici | Seleziona questa opzione per consentire i certificati privati non ritenuti attendibili disabilitando l’impostazione della trasparenza del certificato. Il certificato da disabilitare deve contenere (1) l’algoritmo che è stato utilizzato dall’emittente per firmare il certificato e (2) la chiave pubblica associata all’identità per cui è stato emesso il certificato. Per i valori specifici che ti occorrono, consulta il resto della tabella. | No. | |||||||||
Algoritmo | L’algoritmo utilizzato dall’emittente per firmare il certificato. Il valore deve essere “sha256”. | Sì, se è utilizzato “Disabilita impostazione trasparenza certificato per certificati specifici”. | |||||||||
Hash di | La chiave pubblica associata all’identità per cui viene rilasciato il certificato. | Sì, se è utilizzato “Disabilita impostazione trasparenza certificato per certificati specifici”. | |||||||||
Disabilita domini specifici | Un elenco di domini in cui la trasparenza del certificato è disabilitata. Un periodo iniziale può essere utilizzato per verificare la corrispondenza con i sottodomini, ma una regola di corrispondenza di dominio non deve corrispondere a tutti i domini all’interno di quello di livello superiore. (“.com” e “.co.uk” non sono consentiti. Sono invece consentiti “.betterbag.com” e “.betterbag.co.uk”). | No. | |||||||||
Nota: ogni fornitore MDM implementa queste impostazioni in modo diverso. Per sapere come le diverse impostazioni “Trasparenza del certificato” vengono applicate ai tuoi dispositivi, consulta la documentazione del fornitore MDM.
Come creare l’hash di subjectPublicKeyInfo
Perché l’impostazione della trasparenza certificato sia disabilitata quando è impostata questa politica, l’hash subjectPublicKeyInfo deve essere uno dei seguenti:
Il primo metodo per disabilitare l’impostazione della trasparenza del certificato |
|---|
Un hash del valore |
Il secondo metodo per disabilitare l’impostazione della trasparenza del certificato |
|---|
|
Il terzo metodo per disabilitare l’impostazione della trasparenza del certificato |
|---|
|
Come generare i dati specificati
Nel dizionario subjectPublicKeyInfo, usa i seguenti comandi:
Certificato crittografato PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificato con crittografia DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Se il certificato non ha un’estensione .pem o .der, usa i comandi file seguenti per identificarne il tipo di crittografia:
file example_certificate.crtfile example_certificate.cer
Per visualizzare un esempio completo di questo payload, consulta l’esempio di payload personalizzato di “Trasparenza del certificato”.