MDM-innstillinger for Certificate Transparency-nyttelasten for Apple-enheter

Bruk Certificate Transparency-nyttelasten for å styre håndheving av Certificate Transparency på iPhone-, iPad-, Mac- eller Apple TV-enheter. Denne tilpassede nyttelasten krever ikke at MDM eller at enhetens serienummer vises i Apple School Manager, Apple Business Manager eller Apple Business Essentials.

iOS, iPadOS macOS, tvOS, watchOS 10 og visionOS 1.1 har Certificate Transparency-krav slik at TLS-sertifikater kan godkjennes. Certificate Transparency innebærer å sende inn tjenerens offentlige sertifikat til en logg som er tilgjengelig for offentligheten. Hvis du bruker sertifikater fra interne tjenere, kan du kanskje ikke vise de tjenerne og dermed ikke kunne bruke Åpenhet for sertifikat. Derfor vil Certificate Transparency-kravene føre til at sertifikater ikke godkjennes for brukerne dine.

Denne nyttelasten gjør det mulig for enhetsadministratorer å selektivt senke Certificate Transparency-kravene for interne domener og tjenere for å unngå disse godkjenningsproblemene på enheter som kommuniserer med de interne tjenerne.

Certificate Transparency-nyttelasten støtter følgende. Du finner mer informasjon om dette under Nyttelastinformasjon.

Støttet nyttelastidentifikator: com.apple.security.certificatetransparency
Støttede operativsystemer og kanaler: iOS, iPadOS, Delt iPad-enhet, macOS-enhet, tvOS, watchOS 10, visionOS 1.1.
Støttede registreringstyper: Brukerregistrering, enhetsregistrering, automatisert enhetsregistrering.
Duplikater tillatt: True – flere enn én Certificate Transparency-nyttelast kan leveres til en enhet.

Du kan bruke innstillingene i tabellen under med Certificate Transparency-nyttelasten.

Innstilling	Beskrivelse	Påkrevd
Disable Certificate Transparency enforcement for specific certificates	Velg dette alternativet for å tillate private, ikke-godkjente sertifikater ved å deaktivere håndhevingen av Certificate Transparency. Sertifikatene som skal deaktiveres, må inneholde (1) algoritmen som ble brukt av utstederen til å signere sertifikatet og (2) den offentlige nøkkelen som er knyttet til identiteten sertifikatet er utstedt til. Se resten av denne tabellen for de spesifikke verdiene du trenger.	Nei.
Algorithm	Algoritmen som ble brukt av utstederen til å signere sertifikatet. Verdien må være «sha256».	Ja, hvis Disable Certificate Transparency brukes for spesifikke sertifikater.
Hash of `subjectPublicKeyInfo`	Den offentlige nøkkelen knyttet til identiteten sertifikatet er utstedt til.	Ja, hvis Disable Certificate Transparency brukes for spesifikke sertifikater.
Disable specific domains	En liste over domener der åpenhet for sertifikat er deaktivert. Et innledende punktum kan brukes til å matche underdomener, men en domenesammenligningsregel må ikke matche alle domener innen et toppnivådomene. («.com» og «.co.uk» er ikke tillatt, men «.betterbag.com» og «.betterbag.co.uk» er tillatt).	Nei.

Merk: Disse innstillingene implementeres på ulike måter av de forskjellige MDM-leverandørene. Slå opp i MDM-leverandørens egen dokumentasjon for å finne ut hvordan ulike innstillinger for Certificate Transparency brukes på enhetene dine.

Slik oppretter du hash for subjectPublicKeyInfo

Hvis Certificate Transparency-håndheving skal kunne deaktiveres når denne regelen er angitt, må subjectPublicKeyInfo-hash være én av følgende:

Den første metoden for å deaktivere håndheving av Certificate Transparency
En hash av tjenerbladsertifikatets `subjectPublicKeyInfo`-verdi.

Den andre metoden for å deaktivere håndheving av Certificate Transparency
Hashen er av et `subjectPublicKeyInfo`-felt til rotsertifikatet eller eventuelle mellomliggende sertifikater i sertifikatkjeden. Den roten eller det mellomliggende sertifikatet begrenses via X.509v3 `nameConstraints`-utvidelsen. En eller flere `directoryName` `nameConstraints` er til stede i `permittedSubtrees`. `directoryName` inneholder et `organizationName`-attributt.

Den tredje metoden for å deaktivere håndheving av Certificate Transparency
Hashen er av et `subjectPublicKeyInfo`-felt til rotsertifikatet eller eventuelle mellomliggende sertifikater i sertifikatkjeden. Den roten eller det mellomliggende sertifikatet har et eller flere `organizationName`-attributter i sertifikatets Subject. Tjenerens bladsertifikat inneholder samme antall `organizationName`-attributter, i samme rekkefølge, og er en nøyaktig match, med identiske verdier byte for byte.

Den tredje metoden for å deaktivere håndheving av Certificate Transparency

Hashen er av et subjectPublicKeyInfo-felt til rotsertifikatet eller eventuelle mellomliggende sertifikater i sertifikatkjeden.
Den roten eller det mellomliggende sertifikatet har et eller flere organizationName-attributter i sertifikatets Subject.
Tjenerens bladsertifikat inneholder samme antall organizationName-attributter, i samme rekkefølge, og er en nøyaktig match, med identiske verdier byte for byte.

Slik genererer du de spesifiserte dataene

Bruk følgende kommandoer i subjectPublicKeyInfo-ordboken:

PEM-kodet sertifikat: openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
DER-kodet sertifikat: openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64

Hvis sertifikatet ikke har en .pem- eller .der-filendelse, bruker du følgende filkommandoer for å identifisere kodingstypen:

file example_certificate.crt
file example_certificate.cer

Hvis du vil se et fullstendig eksempel på denne tilpassede nyttelasten, kan du se Eksempel på tilpasset Certificate Transparency-nyttelast.

Se ogsåIntroduksjon til administrering av profiler for mobile enheter Planlegg konfigurasjonsprofilene dine for Apple-enheter Apple Developer-nettsted: Certificate Transparency

Nyttig?

Utrulling på Apple-plattformer

MDM-innstillinger for Certificate Transparency-nyttelasten for Apple-enheter

Slik oppretter du hash for subjectPublicKeyInfo

Slik genererer du de spesifiserte dataene