Параметри набору даних MDM Certificates Transparency для пристроїв Apple
Використовуйте набір даних Certificate Transparency (Прозорість сертифіката), щоб керувати поведінкою примусового застосування прозорості на iPhone, iPad, Mac або Apple TV. Цей спеціальний набір даних не потребує MDM або серійного номера пристрою в Apple School Manager, Apple Business Manager або Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 і visionOS 1.1 мають вимоги до прозорості сертифіката. Це потрібно для надання статусу довірених сертифікатам TLS. Certificate Transparency (Прозорість сертифіката) передбачає надсилання публічного сертифіката сервера в загальнодоступний журнал. Якщо ви використовуєте сертифікати тільки для внутрішніх серверів, можливо, ви не зможете показати ці сервери, а отже, не зможете використовувати Certificate Transparency (Прозорість сертифіката). Як наслідок, вимоги до прозорості сертифікатів спричинять збої в довірі до сертифікатів для ваших користувачів.
Цей набір даних дає змогу адміністраторам пристрою вибірково послаблювати вимоги до прозорості сертифіката для внутрішніх доменів і серверів, щоб уникнути відмов довіри на пристроях, які обмінюються даними з внутрішніми серверами.
Набір даних Certificate Transparency (Прозорість сертифіката) підтримує таке. Докладну інформацію наведено в статті Інформація набору даних.
Підтримуваний ідентифікатор набору даних: com.apple.security.certificatetransparency
Підтримувані операційні системи та канали: iOS, iPadOS, спільний iPad, пристрій macOS, tvOS, watchOS 10, visionOS 1.1.
Підтримувані типи реєстрації: реєстрація користувача, реєстрація пристрою та автоматизована реєстрація пристрою.
Дублікати дозволено: Так — пристрою може бути доставлено більш ніж один набір даних Certificate Transparency (Прозорість сертифіката).
Стаття служби підтримки Apple «Політика Apple щодо прозорості сертифіката»
Політика прозорості сертифіката на вебсайті проєкту Chromium
З набором даних Certificate Transparency (Прозорість сертифіката) можна використовувати параметри, наведені в таблиці нижче.
Параметр | Опис | Обов’язково | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates (Вимикати примусове застосування стандарту прозорості сертифіката для певних сертифікатів) | Виберіть цю опцію, щоб дозволити приватні не довірені сертифікати, вимкнувши примусове застосування стандарту прозорості сертифіката. Сертифікати, які необхідно вимкнути, мають містити (1) алгоритм, який було використано видавцем для підписування сертифіката, і (2) публічний ключ, пов’язаний із посвідченням, якому видано сертифікат. Щоб знайти потрібні значення, перегляньте решту вмісту таблиці. | Ні. | |||||||||
Algorithm (Алгоритм) | Алгоритм, використаний видавцем для підписування сертифіката. Значення має бути «sha256». | Так, якщо використовується параметр «Вимикати примусове застосування стандарту прозорості сертифіката для певних сертифікатів». | |||||||||
Hash of | Публічний ключ, пов’язаний із посвідченням, якому видано сертифікат. | Так, якщо використовується параметр «Вимикати примусове застосування стандарту прозорості сертифіката для певних сертифікатів». | |||||||||
Disable specific domains (Вимикати певні домени) | Список доменів, у яких вимкнуто прозорість сертифіката. Для зіставлення субдоменів можна використовувати крапку на початку, але правило зіставлення доменів не може зіставляти всі домени в межах домену верхнього рівня. (не можна використовувати «.com» і «.co.uk», але дозволено вказувати «.betterbag.com» і «.betterbag.co.uk»). | Ні. | |||||||||
Примітка. Кожен постачальник MDM реалізує ці параметри по-різному. Щоб дізнатися, як різні параметри Certificate Transparency (Прозорість сертифіката) застосовуються до ваших пристроїв, зверніться до документації постачальника MDM.
Як створити геш subjectPublicKeyInfo
Щоб вимкнути примусове застосування стандарту прозорості сертифіката після налаштування політики, геш subjectPublicKeyInfo має бути таким:
Перший метод вимкнення примусового застосування стандарту прозорості сертифіката |
|---|
Геш значення |
Другий метод вимкнення примусового застосування стандарту прозорості сертифіката |
|---|
|
Третій метод вимкнення примусового застосування стандарту прозорості сертифіката |
|---|
|
Як згенерувати вказані дані
У словнику subjectPublicKeyInfo використовуйте такі команди:
Сертифікат, закодований за допомогою PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Сертифікат, закодований за допомогою DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Якщо у вашого сертифіката немає розширення .pem або .der, скористайтеся наведеними нижче командами file, щоб визначити тип його кодування:
file example_certificate.crtfile example_certificate.cer
Щоб ознайомитися з прикладом спеціального набору даних повністю, перегляньте приклад спеціального набору даних Certificate Transparency.