Seting muat beban MDM Ketelusan Sijil untuk peranti Apple

Gunakan muat beban Ketelusan Sijil untuk mengawal kelakuan penguatkuasaan Ketelusan Sijil pada peranti iPhone, iPad, Mac, atau Apple TV. Muat beban tersuai ini tidak memerlukan MDM atau nombor siri peranti untuk muncul dalam Apple School Manager, Apple Business Manager atau Keperluan Perniagaan Apple.

iOS, iPadOS, macOS, tvOS, watchOS 10 dan visionOS 1.1 mempunyai keperluan Ketelusan Sijil supaya sijil TLS boleh dipercayai. Ketelusan Sijil melibatkan penghantaran sijil awam pelayan anda kepada log yang tersedia untuk awam. Jika anda menggunakan sijil untuk pelayan dalaman sahaja, anda mungkin tidak dapat menunjukkan pelayan tersebut dan seterusnya tidak akan dapat menggunakan Ketelusan Sijil. Hasilnya, keperluan Ketelusan Sijil akan menyebabkan kegagalan kepercayaan sijil untuk pengguna anda.

Muat beban ini membenarkan pentadbir peranti merendahkan keperluan Ketelusan Sijil secara pilihan untuk domain dan pelayan dalaman bagi mengelak kegagalan kepercayaan pada peranti yang berkomunikasi dengan pelayan dalaman.

Muat beban Ketelusan Sijil menyokong yang berikut. Untuk mendapatkan maklumat lanjut, lihat Maklumat muat beban.

Pengecam muat beban disokong: com.apple.security.certificatetransparency
Sistem dan saluran pengendalian disokong: iOS, iPadOS, peranti iPad Dikongsi, peranti macOS, tvOS, watchOS 10, visionOS 1.1.
Jenis pendaftaran disokong: Pendaftaran Pengguna, Pendaftaran Peranti, Pendaftaran Peranti Diautomasikan.
Duplikasi dibenarkan: Benar—lebih daripada satu muat beban Ketelusan Sijil boleh dihantar kepada peranti.

Anda boleh menggunakan seting dalam jadual di bawah dengan muat beban Ketelusan Sijil.

Seting	Perihalan	Diperlukan
Nyahdayakan penguatkuasaan Ketelusan Sijil untuk sijil tertentu	Pilih pilihan ini untuk membenarkan sijil peribadi dan tidak dipercayai dengan menyahdayakan penguatkuasaan Ketelusan Sijil. Sijil yang mahu dinyahdayakan mesti mengandungi (1) algoritma yang telah digunakan oleh pengeluar untuk menandatangani sijil dan (2) kunci awam yang dikaitkan dengan identiti yang dikeluarkan sijil untuknya. Untuk nilai tertentu yang anda perlukan, lihat baki jadual ini.	Tidak.
Algoritma	Algoritma yang telah digunakan oleh pengeluar untuk menandatangani sijil. Nilai mesti “sha256”.	Ya, jika penguatkuasaan Nyahdayakan Ketelusan Sijil untuk sijil tertentu digunakan.
Hash `subjectPublicKeyInfo`	Kunci awam dikaitkan dengan identiti yang dikeluarkan sijil untuknya.	Ya, jika penguatkuasaan Nyahdayakan Ketelusan Sijil untuk sijil tertentu digunakan.
Nyahdayakan domain tertentu	Senarai domain apabila ketelusan sijil dinyahdayakan. Noktah boleh digunakan untuk memadankan subdomain, tetapi peraturan pemadanan domain mesti tidak memadankan semua domain dalam domain paras tertinggi. (“.com” dan “.co.uk” tidak dibenarkan, tetapi “.betterbag.com” dan “.betterbag.co.uk” dibenarkan).	Tidak.

Nota: Setiap vendor MDM melaksanakan seting ini secara berbeza. Untuk mengetahui cara pelbagai seting Ketelusan Sijil digunakan pada peranti anda, rujuk dokumentasi vendor MDM anda.

Cara mencipta hash subjectPublicKeyInfo

Supaya penguatkuasaan Ketelusan Sijil dinyahdayakan apabila dasar ini disetkan, hash subjectPublicKeyInfo mesti menjadi satu daripada berikut:

Kaedah pertama untuk menyahdayakan penguatkuasaan Ketelusan Sijil
Hash nilai `subjectPublicKeyInfo` sijil dedaun pelayan.

Kaedah kedua untuk menyahdayakan penguatkuasaan Ketelusan Sijil
Hash ialah daripada medan `subjectPublicKeyInfo` daripada sijil akar atau perantaraan dalam rantai sijil. Sijil akar atau perantaraan itu dikekang melalui sambungan `nameConstraints` X.509v3. Satu atau lebih `directoryName` `nameConstraints` wujud dalam `permittedSubtrees`. `directoryName` mengandungi atribut `organizationName`.

Kaedah ketiga untuk menyahdayakan penguatkuasaan Ketelusan Sijil
Hash ialah daripada medan `subjectPublicKeyInfo` daripada sijil akar atau perantaraan dalam rantai sijil. Sijil akar atau perantaraan itu mempunyai satu atau lebih atribut `organizationName` dalam Subjek sijil. Sijil dedaun pelayan mengandungi bilangan atribut `organizationName` yang sama, dalam tertib yang sama dan ialah padanan yang tepat, dengan nilai serupa bait untuk bait.

Cara menjana data yang ditentukan

Dalam kamus subjectPublicKeyInfo, gunakan perintah berikut:

Sijil dikodkan PEM: openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Sijil dikodkan DER: openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Jika sijil anda tidak mempunyai sambungan .pem atau .der, gunakan perintah fail berikut untuk mengenal pasti jenis pengekodannya:

file example_certificate.crt
file example_certificate.cer

Untuk melihat contoh lengkap muat beban tersuai ini, lihat Contoh muat beban tersuai Ketelusan Sijil.

Lihat jugaPengenalan kepada profil pengurusan peranti mudah alih Rancang profil konfigurasi anda untuk peranti Apple Tapak web Pembangun Apple: Ketelusan Sijil

Berguna?

Pengerahan Platform Apple

Seting muat beban MDM Ketelusan Sijil untuk peranti Apple

Cara mencipta hash subjectPublicKeyInfo

Cara menjana data yang ditentukan