Configuración de la carga útil de MDM Transparencia de certificados en dispositivos Apple
Usa la carga útil Transparencia de certificados para controlar el comportamiento de la ejecución de transparencia de certificados en dispositivos iPhone, iPad, Mac y Apple TV. esta carga útil personalizada no requiere una solución MDM ni que el número de serie aparezca en Apple School Manager, Apple Business Manager o Apple Business Essentials.
iOS, iPadOS, macOS, tvOS, watchOS 10 y visionOS 1.1 tienen requisitos de la carga útil Transparencia de certificados para que los certificados TLS sean de confianza. La transparencia de certificados conlleva enviar tu certificado público de un servidor a un registro que está disponible al público. Si usas certificados para servidores que son sólo internos, es posible que no puedas mostrar esos servidores y, por tanto, no podrás utilizar la carga útil Transparencia de certificados. En consecuencia, los requisitos de transparencia de los certificados provocarán fallos de confianza en los certificados para tus usuarios.
Esta carga permite a los administradores de dispositivos reducir los requisitos de transparencia de certificados para los servidores y dominios internos con el fin de evitar esos errores de confianza en los dispositivos que se comuniquen con los servidores internos.
La carga útil Transparencia de certificados es compatible con las siguientes funciones; para obtener más información, consulta Información de la carga útil.
Identificador de carga útil compatible: com.apple.security.certificatetransparency
Sistemas operativos y canales compatibles: iOS, iPadOS, dispositivo iPad compartido, dispositivo macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de inscripción compatibles: perfil Inscripción de usuarios, perfil Inscripción de dispositivos y perfil Inscripción de dispositivos automatizada.
Duplicados permitidos: verdadero; se pueden enviar varias cargas útiles Transparencia de certificados a un dispositivo.
Artículo de soporte de Apple: Política de Transparencia de certificados de Apple
Política de transparencia de certificados en el sitio web del proyecto Chromium
Puedes usar las configuraciones de la siguiente tabla con la carga útil Transparencia de certificados.
Configuración | Descripción | Necesario | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Desactivar la imposición de la transparencia de certificados para certificados específicos | Selecciona esta opción para permitir certificados no confiables privados desactivando la imposición de la transparencia de certificados. Para que los certificados se desactiven deben contener (1) el algoritmo que usó el emisor para firmar el certificado y (2) la clave pública asociada con la identidad para la que se emitió el certificado. Para los valores específicos que necesitas, consulta el resto de esta tabla. | No. | |||||||||
Algoritmo | El algoritmo que usó el emisor para firmar el certificado. El valor debe ser “sha256”. | Sí, si se usa la opción de desactivar la imposición de la transparencia de certificados para certificados específicos. | |||||||||
Hash de | La clave pública asociada con la identidad para la que se emitió el certificado. | Sí, si se usa la opción de desactivar la imposición de la transparencia de certificados para certificados específicos. | |||||||||
Desactivar dominios específicos | Una lista de dominios en los que la transparencia de certificados está desactivada. Se puede usar un punto al inicio para que los subdominios coincidan, pero una regla de coincidencias de dominios no debe coincidir necesariamente con todos los dominios incluidos en un dominio de nivel superior. (“.com” y “.co.uk” no se permiten, pero “.betterbag.com” y “.betterbag.co.uk” sí). | No. | |||||||||
Nota: cada proveedor de soluciones de MDM implementa esta configuración de manera diferente. Para obtener información sobre cómo aplicar a tus dispositivos las diferentes opciones de la configuración Transparencia de certificados, consulta la documentación de tu proveedor de MDM.
Cómo crear el hash de subjectPublicKeyInfo
Para que la imposición de la transparencia de certificados se desactive al establecer esta política, el hash subjectPublicKeyInfo debe ser uno de los siguientes:
El primer método para desactivar la imposición de la transparencia de certificados |
|---|
Un hash del valor |
El segundo método para desactivar la imposición de la transparencia de certificados |
|---|
|
El tercer método para desactivar la imposición de la transparencia de certificados |
|---|
|
Cómo generar los datos especificados
En el diccionario subjectPublicKeyInfo, usa los siguientes comandos:
Certificado codificado con PEM:
openssl x509 -pubkey -in example_certificate.pem -inform pem | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64Certificado codificado con DER:
openssl x509 -pubkey -in example_certificate.der -inform der | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64
Si el certificado no tiene una extensión .pem o .der, usa los siguientes comandos de archivo para identificar su tipo de codificación:
file example_certificate.crtfile example_certificate.cer
Para ver un ejemplo completo de esta carga personalizada, consulta el ejemplo de carga personalizada Transparencia de certificados.