Ajustes de carga de MDM “Transparencia de certificados” para dispositivos Apple
Usa la carga útil “Transparencia de certificados” para controlar el comportamiento de la imposición de la transparencia de certificados en dispositivos iPhone, iPad, Mac o Apple TV. Esta carga útil personalizada no requiere MDM ni que aparezca el número de serie del dispositivo en Apple School Manager, Apple Business Manager o Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 y visionOS 1.1 cuentan con requisitos de transparencia de certificados para que los certificados TLS sean de confianza. La transparencia de certificados conlleva enviar el certificado público de tu servidor a un registro que está disponible para el público. Si utilizas certificados para servidores solo internos, es posible que no puedas mostrar esos servidores y, por lo tanto, no puedas usar “Transparencia de certificados”. El resultado es que los requisitos de transparencia de certificados provocarán que los usuarios tengan errores de certificados de confianza.
Esta carga útil permite a los administradores de dispositivos reducir los requisitos de transparencia de certificados para los servidores y dominios internos con el fin de evitar esos errores de confianza en los dispositivos que se comuniquen con los servidores internos.
La carga útil “Transferencia de certificados” es compatible con lo siguiente. Para obtener más información, consulta Información de carga útil.
Identificador de carga compatible: com.apple.security.certificatetransparency
Sistemas operativos compatibles y canales: iOS, iPadOS, dispositivo iPad compartido, dispositivo macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de inscripciones admitidas: Inscripción de usuarios, inscripción de dispositivos e inscripción automatizada de dispositivos.
Se permiten duplicados: True (verdadero): se puede entregar a un dispositivo más de una carga útil “Transparencia de certificados”.
Artículo de soporte de Apple: Política de transparencia de certificados de Apple
Política de transparencia de certificados en el sitio web del proyecto Chromium
Puedes usar los ajustes de la tabla siguiente con la carga útil “Transparencia de certificados”.
Ajuste | Descripción | Obligatorio | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Desactivar la imposición de la transparencia de certificados para determinados certificados | Selecciona esta opción para permitir certificados no fiables privados desactivando la imposición de la transparencia de certificados. Para que los certificados se desactiven deben contener (1) el algoritmo que usó el emisor para firmar el certificado y (2) la clave pública asociada con la identidad para la que se ha emitido el certificado. Para los valores específicos que necesitas, consulta el resto de esta tabla. | No. | |||||||||
Algoritmo | El algoritmo que usó el emisor para firmar el certificado. El valor debe ser “sha256”. | Sí, si se usa la opción de desactivar la imposición de la transparencia de certificados para determinados certificados. | |||||||||
Hash de | La clave pública asociada con la identidad para la que se ha emitido el certificado. | Sí, si se usa la opción de desactivar la imposición de la transparencia de certificados para determinados certificados. | |||||||||
Desactivar dominios específicos | Una lista de dominios en los que la transparencia de certificados está desactivada. Se puede usar un punto previo para que coincida con los subdominios, pero una regla de coincidencia de dominio no debe coincidir necesariamente con todos los dominios incluidos en un dominio de nivel superior. (“.com” y “.co.uk” no se permiten, pero sí “.betterbag.com” y “.betterbag.co.uk”). | No. | |||||||||
Nota: Cada proveedor de MDM implementa estos ajustes de forma diferente. Para ver cómo se aplican los diversos ajustes de “Transparencia de certificados” a tus dispositivos, consulta la documentación de tu proveedor de MDM.
Cómo crear el hash de subjectPublicKeyInfo
Para que la imposición de la transparencia de certificados se desactive al establecer esta política, el hash subjectPublicKeyInfo debe ser uno de los siguientes:
El primer método para desactivar la imposición de la transparencia de certificados |
|---|
Un hash del valor |
El segundo método para desactivar la imposición de la transparencia de certificados |
|---|
|
El tercer método para desactivar la imposición de la transparencia de certificados |
|---|
|
Cómo generar los datos especificados
En el diccionario subjectPublicKeyInfo, usa los siguientes comandos:
Certificado codificado con PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificado codificado con DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Si el certificado no tiene una extensión .pem o .der, usa los siguientes comandos de archivo para identificar su tipo de codificación:
Archivo example_certificate.crtArchivo example_certificate.cer
Para ver un ejemplo completo de esta carga útil personalizada, consulta el ejemplo de carga útil personalizada de transparencia de certificados.