Ajustes do payload MDM de Transparência de Certificado em dispositivos Apple
Use o payload de Transparência de Certificado para controlar o comportamento da exigência de Transparência de Certificado em dispositivos iPhone, iPad, Mac ou Apple TV. Este payload personalizado não requer MDM ou que o número de série do dispositivo apareça no Apple School Manager, Apple Business Manager ou Apple Business Essentials.
O iOS, iPadOS, macOS, tvOS, watchOS 10 e visionOS 1.1 têm requisitos de Transparência de Certificado para que certificados TLS possam ser confiados. A Transparência de Certificado envolve o envio do certificado público do seu servidor para um registro disponível ao público. Se você usar certificados para servidores apenas internos, você pode não ser capaz de mostrar esses servidores e, sendo assim, não poderá usar a Transparência de Certificado. Como resultado, os requisitos de Transparência de Certificado causarão falhas de confiança de certificado para os usuários.
Esse payload permite que administradores de dispositivos diminuam seletivamente os requisitos de Transparência de Certificado em domínios e servidores internos para evitar tais falhas em dispositivos que se comunicam com os servidores internos.
O payload de Transparência de Certificado é compatível com os itens a seguir. Para obter mais informações, consulte Informações do payload.
Identificador de payload compatível: com.apple.security.certificatetransparency
Sistemas operacionais compatíveis e canais: iOS, iPadOS, dispositivo iPad Compartilhado, dispositivo com macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de registro compatíveis: Registro de Usuário, Registro de Dispositivo, Registro de Dispositivo Automatizado.
Duplicatas permitidas: Verdadeiro — mais de um payload de Transparência de Certificado pode ser entregue a um dispositivo.
Artigo de Suporte da Apple: Política de Transparência de Certificados da Apple
Política de Transparência de Certificado no site do Projeto Chromium
Você pode usar os ajustes da tabela abaixo com o payload de Transparência de Certificado.
Ajuste | Descrição | Obrigatório | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Desativar aplicação da Transparência de Certificado em certificados específicos | Selecione esta opção para permitir certificados privados e não confiados ao desativar a aplicação da Transparência de Certificado. Os certificados a serem desativados devem conter (1) o algoritmo usado pelo emissor para assinar o certificado e (2) a chave pública associada à identidade para a qual o certificado foi emitido. Para saber os valores específicos necessários, consulte o resto desta tabela. | Não. | |||||||||
Algoritmo | O algoritmo usado pelo emissor para assinar o certificado. O valor deve ser “sha256”. | Sim, caso Desativar aplicação da Transparência de Certificado em certificados específicos seja usado. | |||||||||
Hash de | A chave pública associada à identidade para a qual o certificado foi emitido. | Sim, caso Desativar aplicação da Transparência de Certificado em certificados específicos seja usado. | |||||||||
Desativar domínios específicos | Uma lista de domínios onde a transparência de certificado é desativada. Um ponto inicial pode ser usado para fazer correspondência a subdomínios, mas uma regra de correspondência de domínio não deve coincidir com todos os domínios dentro de um domínio de nível superior (“.com” e “.co.uk” não são permitidos, mas “.betterbag.com” e “.betterbag.co.uk” são permitidos). | Não. | |||||||||
Nota: cada fornecedor de MDM implementa esses ajustes de maneira diferente. Para saber como diferentes ajustes de Transparência de Certificado são aplicados aos dispositivos, consulte a documentação do fornecedor do MDM.
Como criar um hash de subjectPublicKeyInfo
Para que a aplicação da Transparência de Certificado seja desativada quando esta política está definida, o hash de subjectPublicKeyInfo deve incluir um dos seguintes:
O primeiro método para desativar a aplicação da Transparência de Certificado |
|---|
Um hash do valor de |
O segundo método para desativar a aplicação da Transparência de Certificado |
|---|
|
O terceiro método para desativar a aplicação da Transparência de Certificado |
|---|
|
Como gerar os dados especificados
No dicionário subjectPublicKeyInfo, use os seguintes comandos:
Certificado PEM codificado:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificado DER codificado:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Se o certificado não tiver uma extensão .pem ou .der, use os comandos de arquivo a seguir para identificar o tipo de codificação:
file example_certificate.crtfile example_certificate.cer
Para visualizar um exemplo completo desse payload personalizado, consulte o exemplo de payload personalizado de Transparência de Certificado.