Nastavenia objemu dát MDM Priehľadnosť certifikátu pre Apple zariadenia
Naučte sa konfigurovať nastavenia objemu dát Priehľadnosť certifikátu, aby ste mohli ovládať správanie pri presadzovaní priehľadnosti certifikátu na zariadeniach iPhone, iPad, Mac alebo Apple TV. Tento vlastný objem dát nevyžaduje na zobrazenie v Apple School Manageri, Apple Business Manageri ani Apple Business Essentials.
V systémoch iOS, iPadOS, macOS, tvOS, watchOS 10 a visionOS 1.1 sú zavedené požiadavky na transparentnosť certifikátov, ktorými je podmienená dôveryhodnosť certifikátov TLS. Nastavenie objemu dát Priehľadnosť certifikátu vyžaduje odoslanie vášho verejného certifikátu servera do záznamu, ktorý je verejne prístupný. Ak používate certifikáty na serveroch určených len na interné použitie, nemusíte byť schopní zobraziť tieto servery, a preto nebudete môcť používať objem dát Priehľadnosť certifikátu. V dôsledku toho požiadavky priehľadnosti certifikátu spôsobia zlyhanie dôveryhodnosti certifikátu pre vašich užívateľov.
Tento objem dát umožňuje správcom zariadení selektívne znižovať požiadavky na priehľadnosť certifikátu pre interné domény a servery, aby sa predišlo zlyhaniam pri overovaní dôveryhodnosti na zariadeniach komunikujúcich s internými servermi.
Objem dát Priehľadnosť certifikátu podporuje nasledujúce položky. Viac informácií nájdete v téme Informácie o objeme dát.
Identifikátor podporovaného objemu dát: com.apple.security.certificatetransparency
Podporované operačné systémy a kanály: iOS, iPadOS, zariadenie Zdieľaný iPad, zariadenie so systémom macOS, tvOS, watchOS 10, visionOS 1.1.
Podporované typy registrácie: Registrácia užívateľov, registrácia zariadení, automatická registrácia zariadení.
Sú povolené duplikáty: True – na zariadenie je možné odoslať viac ako jeden objem dát Priehľadnosť certifikátu.
Článok podpory Apple: Politika transparentnosti certifikátov spoločnosti Apple
Pravidlá priehľadnosti certifikátu na webe projektu Chromium
Nastavenia v tabuľke nižšie môžete používať s objemom dát Priehľadnosť certifikátu.
Nastavenie | Popis | Vyžaduje sa | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Túto možnosť vyberte, ak chcete povoliť súkromné, nedôveryhodné certifikáty tým, že sa zakáže presadzovanie priehľadnosti certifikátu. Certifikáty, pre ktoré sa má presadzovanie zakázať, musia obsahovať (1) algoritmus, ktorý použil vydavateľ pri podpisovaní certifikátu, a (2) verejný kľúč priradený k identite, ktorej sa certifikát vydáva. Informácie o konkrétnych hodnotách, ktoré potrebujete, nájdete vo zvyšnej časti tabuľky. | Nie. | |||||||||
Algorithm | Algoritmus, ktorý použil vydavateľ pri podpisovaní certifikátu. Jeho hodnota musí byť „sha256“. | Áno, ak sa používa možnosť Disable Certificate Transparency enforcement for specific certificates | |||||||||
Haš hodnoty | Verejný kľúč priradený k identite, ktorej sa certifikát vydáva. | Áno, ak sa používa možnosť Disable Certificate Transparency enforcement for specific certificates | |||||||||
Disable specific domains | Zoznam domén, ktoré majú zakázanú priehľadnosť certifikátu. Na porovnávanie subdomén síce možno použiť začiatočnú bodku, avšak pravidlo na porovnávanie domén sa nesmie zhodovať so všetkými doménami v rámci domény najvyššej úrovne. (Nie sú teda povolené napríklad hodnoty „.com“ alebo „.co.uk“, ale „.betterbag.com“ alebo „.betterbag.co.uk“ už áno). | Nie. | |||||||||
Poznámka: Implementácia týchto nastavení sa u rôznych dodávateľov riešení MDM líšia. Informácie o tom, ako sa rôzne nastavenia Priehľadnosť certifikátu použijú na vašich zariadeniach, nájdete v dokumentácii dodávateľa riešenia MDM.
Ako vytvoriť haš hodnoty subjectPublicKeyInfo
Ak sa má zakázať presadzovanie priehľadnosti certifikátu, keď je toto pravidlo nastavené, haš hodnoty subjectPublicKeyInfo musí byť vytvorený jedným z týchto spôsobov:
Prvý spôsob zakázania presadzovania priehľadnosti certifikátu |
|---|
Haš hodnoty |
Druhý spôsob zakázania presadzovania priehľadnosti certifikátu |
|---|
|
Tretí spôsob zakázania presadzovania priehľadnosti certifikátu |
|---|
|
Ako generovať špecifikované dáta
V slovníku subjectPublicKeyInfo použite nasledujúce príkazy:
Certifikát s PEM kódovaním:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certifikát s DER kódovaním:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Ak váš certifikát nemá príponu .pem alebo .der, na určenie typu jeho kódovania použite nasledovné príkazy:
file example_certificate.crtfile example_certificate.cer
Ak si chcete pozrieť úplný príklad tohto vlastného objemu dát, pozrite si tému Príklad vlastného objemu dát Priehľadnosť certifikátu.