针对 SubjectPublicKeyInfo 哈希列表禁用证书透明度强制
支持的版本
- 在 Windows 和 macOS 上自 77 或更高版本起
描述
禁止对 subjectPublicKeyInfo 哈希列表强制实施证书透明度要求。
通过此策略,可针对包含具有其中一个指定 subjectPublicKeyInfo 哈希的证书的证书链禁用证书透明度披露要求。 这样,由于未正确公开披露而不受信任的证书仍将用于企业主机。
要在设置此策略时禁止强制实施证书透明度,必须满足以下其中一组条件:
- 哈希属于服务器证书的 subjectPublicKeyInfo。
- 哈希属于出现在证书链中某个 CA 证书中的 subjectPublicKeyInfo;该 CA 证书受 X.509v3 nameConstraints 扩展约束;permittedSubtrees 中存在一个或多个 DdirectoryName nameConstraint;DirectoryName 包含 organizationName 属性。
- 哈希属于出现在证书链中某个 CA 证书中的 subjectPublicKeyInfo;CA 证书的证书使用者中具有一个或多个 organizationName 属性;服务器的证书包含数量相同且顺序一致的 organizationName 属性,并且每个字节的值都相同。
可通过将以下内容串联起来指定 subjectPublicKeyInfo 哈希:哈希算法名称、“/”字符以及哈希算法的 Base64 编码,该哈希算法应用于指定证书经过 DER 编码的 subjectPublicKeyInfo。 此 Base64 编码的格式与 SPKI 指纹相同,如 RFC 7469 第 2.4 节所定义。 无法识别的哈希算法将被忽略。 目前仅支持“sha256”哈希算法。
如果禁用或未配置此策略,则当需要通过证书透明度进行披露的任何证书未根据证书透明度策略进行披露时,将被视为不受信任。
支持的功能
- 可以强制:是
- 可以推荐:否
- 动态策略刷新:是
- 按配置文件:是
- 适用于使用Microsoft帐户登录的配置文件:是
数据类型
- 字符串列表
Windows 信息和设置
组策略 (ADMX) 信息
- GP 唯一名称:CertificateTransparencyEnforcementDisabledForCas
- GP 名称:针对 SubjectPublicKeyInfo 哈希列表禁用证书透明度强制
- GP 路径 (强制) :管理模板/Microsoft Edge
- GP 路径(推荐):不适用
- GP ADMX 文件名:MSEdge.admx
示例值
sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==
注册表设置
- 路径(强制):SOFTWARE\Policies\Microsoft\Edge\CertificateTransparencyEnforcementDisabledForCas
- 路径(推荐):不适用
- 值名称:1、2、3、 ...
- 值类型:REG_SZ列表
示例注册表值
SOFTWARE\Policies\Microsoft\Edge\CertificateTransparencyEnforcementDisabledForCas\1 =
sha256/AAAAAAAAAAAAAAAAAAAAAA==
SOFTWARE\Policies\Microsoft\Edge\CertificateTransparencyEnforcementDisabledForCas\2 =
sha256//////////////////////w==
Mac 信息和设置
- 首选项密钥名称:CertificateTransparencyEnforcementDisabledForCas
- 示例值:
<array>
<string>sha256/AAAAAAAAAAAAAAAAAAAAAA==</string>
<string>sha256//////////////////////w==</string>
</array>