Položky nastavení MDM v datové části Certificate Transparency pro zařízení Apple
Prostřednictvím datové části Certificate Transparency můžete řídit chování funkcí, které na iPhonech, iPadech, počítačích Mac nebo Apple TV vynucují transparentnost certifikátů. Tato vlastní datová část nevyžaduje identifikaci MDM ani zobrazení sériového čísla zařízení v Apple School Manageru či Apple Business Manageru nebo Apple Business Essentials.
V systémech iOS, iPadOS, macOS, tvOS, watchOS 10 a visionOS 1.1 jsou zavedeny požadavky na transparentnost certifikátů, kterými je podmíněna důvěryhodnost certifikátů TLS. Princip transparentnosti certifikátů spočívá v odeslání vašeho veřejného certifikátu serveru do veřejně dostupného protokolu. Pokud používáte certifikáty pro servery určené výhradně k interním účelům, může se stát, že nebudete moci tyto servery zobrazit veřejně, a tedy nebude možné transparentnost certifikátů využívat. Ve výsledku pak požadavky na transparentnost certifikátů budou způsobovat selhání při ověřování důvěryhodnosti certifikátů pro vaše uživatele.
Tato datová část umožňuje správcům zařízení selektivně oslabit požadavky na transparentnost certifikátů pro interní domény a servery tak, aby k selhávání důvěryhodnosti u zařízení komunikujících s interními servery nedocházelo.
Datová část Certificate Transparency podporuje níže uvedené položky. Další informace najdete v části Informace o datových částech.
Podporovaný identifikátor datové části: com.apple.security.certificatetransparency
Podporované operační systémy a kanály: Systémy iOS, iPadOS, sdílený iPad (zařízení), macOS zařízení, systémy tvOS, watchOS 10, visionOS 1.1
Podporované typy registrace: registrace uživatelů, registrace zařízení, automatická registrace zařízení.
Povolení duplikátů: Ano – jedno zařízení může obdržet více datových částí Certificate Transparency.
Článek podpory Apple: Zásady společnosti Apple ohledně transparentnosti certifikátů
Certificate Transparency policy na webových stránkách projektu Chromium
V datové části Certificate Transparency lze použít položky nastavení uvedené v následující tabulce.
Nastavení | Popis | Povinná | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Disable Certificate Transparency enforcement for specific certificates | Tuto volbu vyberte, chcete‑li deaktivovat vynucování transparentnosti certifikátů a umožnit tak používání soukromých nedůvěryhodných certifikátů. Certifikáty, pro které má být tato funkce deaktivována, musí obsahovat (1) algoritmus, který vydavatel použil k podepsání certifikátu, a (2) veřejný klíč přidružený k identitě, pro kterou je certifikát vystaven. Potřebné konkrétní hodnoty najdete ve zbývající části této tabulky. | Ne | |||||||||
Algorithm | Algoritmus, který vydavatel použil k podepsání certifikátu. Hodnota musí být „sha256“. | Ano, pokud je použita volba Disable Certificate Transparency enforcement for specific certificates | |||||||||
Hash of | Veřejný klíč přidružený k identitě, pro kterou byl certifikát vystaven. | Ano, pokud je použita volba Disable Certificate Transparency enforcement for specific certificates | |||||||||
Disable specific domains | Seznam domén, ve kterých je transparentnost certifikátů deaktivovaná. Lze použít tečku na začátku k vyhledání subdomén, nelze však použít vyhledávací pravidlo, kterému vyhovují všechny domény pod doménou nejvyšší úrovně. (Nejsou tedy povoleny např. hodnoty „.com“ nebo „.co.uk“, ale „.betterbag.com“ nebo „.betterbag.co.uk“ už ano). | Ne | |||||||||
Poznámka: Implementace těchto položek nastavení se u různých dodavatelů MDM liší. Informace o tom, jak se různé položky nastavení v datové části Certificate Transparency použijí pro vaše zařízení, najdete v dokumentaci od dodavatele služby MDM.
Vytvoření hašovací hodnoty subjectPublicKeyInfo
Aby bylo možné při nastavení tohoto pravidla deaktivovat vynucení transparentnosti certifikátů, hašovací hodnota subjectPublicKeyInfo musí odpovídat některé z následujících položek:
První metoda deaktivace vynucování transparentnosti certifikátů |
|---|
Hašovací hodnota hodnoty |
Druhá metoda deaktivace vynucování transparentnosti certifikátů |
|---|
|
Třetí metoda deaktivace vynucování transparentnosti certifikátů |
|---|
|
Postup vygenerování specifikovaných dat
Ve slovníku subjectPublicKeyInfo použijte následující příkazy:
Certifikát s kódováním PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certifikát s kódováním DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Nemá‑li použitý certifikát příponu .pem ani .der, zjistěte typ kódování pomocí následujících souborových příkazů:
file example_certificate.crtfile example_certificate.cer
Úplnou ukázku této vlastní datové části najdete v příkladu vlastní datové části Certificate Transparency.