Réglages de l’entité de GAM Transparence de certificat pour appareils Apple
Servez-vous de l’entité Transparence de certificat pour contrôler le comportement de l’application de la transparence de certificat sur les appareils iPhone, iPad, Mac ou Apple TV. Cette entité personnalisée ne requiert pas la GAM ni le numéro de série de l’appareil dans Apple School Manager, Apple Business Manager ou Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 et visionOS 1.1 mettent en œuvre des exigences de transparence de certificat pour faire confiance aux certificats TLS. La transparence de certificat implique la soumission du certificat public de votre serveur à un historique disponible au public. Si vous utilisez des certificats pour des serveurs uniquement internes, vous ne pourrez peut-être pas afficher ces serveurs et ne pourrez donc pas utiliser Transparence de certificat. Par conséquent, les exigences de transparence de certificat entraîneront des échecs de confiance de certificat pour vos utilisateurs.
Cette entité permet aux administrateurs de l’appareil de diminuer de façon sélective les exigences de transparence de certificat pour les serveurs et les domaines internes afin d’éviter ces échecs de confiance sur les appareils communiquant avec les serveurs internes.
L’entité Transparence de certificat prend en charge les éléments ci-après. Pour plus d’informations, consultez Informations sur l’entité.
Identifiant de l’entité prise en charge : com.apple.security.certificatetransparency
Systèmes d’exploitation et canaux pris en charge : iOS, iPadOS, iPad partagé, appareil sous macOS, tvOS, watchOS 10 et visionOS 1.1.
Types d’inscription compatibles : L’inscription d’utilisateurs, l’inscription d’appareils et l’inscription automatisée des appareils.
Doublons autorisés : True : plus d’une entité Transparence de certificat peut être distribuée à un appareil.
Article de l’assistance Apple : Politique en matière de transparence des certificats d’Apple
Règle de transparence des certificats sur le site Web du projet Chromium
Vous pouvez utiliser les réglages du tableau ci-dessous avec l’entité Transparence de certificat.
Réglage | Description | Obligatoire | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Désactiver l’application de la transparence de certificat pour des certificats particuliers | Sélectionnez cette option pour autoriser les certificats privés et non fiables en désactivant l’application de Transparence de certificat. Les certificats à désactiver doivent contenir (1) l’algorithme utilisé par l’émetteur pour signer le certificat, et (2) la clé publique associée à l’identité à laquelle le certificat est émis. Pour les valeurs particulières dont vous avez besoin, consultez le reste de ce tableau. | Non. | |||||||||
Algorithme | L’algorithme qui a été utilisé par l’émetteur pour signer le certificat. La valeur doit être « sha256 ». | Oui, si l’option « Désactiver la transparence de certificat » est utilisée pour des certificats particuliers. | |||||||||
Hachage de | La clé publique associée à l’identité à laquelle le certificat est accordé. | Oui, si l’option « Désactiver la transparence de certificat » est utilisée pour des certificats particuliers. | |||||||||
Désactiver des domaines particuliers | Une liste des domaines pour lesquels la transparence de certificat est désactivée. Un point initial peut être utilisé pour mettre les sous-domaines en correspondance, mais une règle de correspondance de domaine ne peut pas mettre en correspondance tous les domaines à l’intérieur d’un niveau supérieur. (« .com » et « .co.uk » ne sont pas permis, mais « .betterbag.com » et « .betterbag.co.uk » sont autorisés.) | Non. | |||||||||
Remarque : Chaque fournisseur de GAM met en œuvre ces réglages différemment. Pour découvrir comment les différents réglages de transparence de certificat sont appliqués à vos appareils, consultez la documentation de votre fournisseur de GAM.
Création du hachage de subjectPublicKeyInfo
Pour que l’application de la transparence des certificats soit désactivée lorsque cette politique est définie, le hachage de subjectPublicKeyInfo doit être effectué de l’une des façons suivantes :
La première méthode pour désactiver l’application de la transparence de certificat |
|---|
Un hachage de la valeur |
La deuxième méthode pour désactiver l’application de la transparence de certificat |
|---|
|
La troisième méthode pour désactiver l’application de la transparence de certificat |
|---|
|
Génération des données indiquées
Dans le dictionnaire subjectPublicKeyInfo, utilisez les commandes suivantes :
Certificat à encodage PEM :
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificat à encodage DER :
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Si votre certificat ne possède pas d’extension .pem ou .der, utilisez les commandes de fichier suivantes pour déterminer son type d’encodage :
fichier example_certificate.crtfichier example_certificate.cer
Pour consulter un exemple complet de cette entité personnalisée, consultez la rubrique Exemple d’entité personnalisée Transparence de certificat.