subjectPublicKeyInfo 해시 목록에 인증서 투명성 시행 사용 중지

subjectPublicKeyInfo 해시 목록에 인증서 투명성 요구사항 실행을 사용 중지합니다.

이 정책을 사용하면 지정된 subjectPublicKeyInfo 해시가 있는 인증서가 포함된 인증서 체인에서 인증서 투명성 공개 요구사항을 사용 중지할 수 있습니다. 이를 통해 적절하게 공개되지 않아 신뢰할 수 없던 인증서를 엔터프라이즈 호스트에서 계속해서 사용할 수 있도록 허용할 수 있습니다.

이 정책이 설정된 경우 인증서 투명성 시행이 사용 중지되게 하려면 다음 조건 중 하나가 충족되어야 합니다.
1. 해시가 서버 인증서의 subjectPublicKeyInfo여야 합니다.
2. 해시가 인증서 체인에 있는 CA 인증서의 subjectPublicKeyInfo여야 하며, 이때 CA 인증서가 X.509v3 nameConstraints 확장 프로그램을 통해 제한됩니다. permittedSubtrees에 하나 이상의 directoryName nameConstraints가 포함되어 있고, directoryName에 organizationName 속성이 포함되어 있습니다.
3. 해시가 인증서 체인에 있는 CA 인증서의 subjectPublicKeyInfo여야 하며, 이때 CA 인증서의 인증서 제목에 하나 이상의 organizationName 속성이 포함되어 있습니다. 또한 서버 인증서에 동일한 수의 organizationName 속성이 동일한 순서로 포함되어 있고, 바이트별 값도 동일합니다.

subjectPublicKeyInfo 해시는 해시 알고리즘 이름, '/' 문자 및 지정된 인증서의 DER 인코딩된 subjectPublicKeyInfo에 적용된 해시 알고리즘의 Base64 인코딩을 결합함으로써 지정됩니다. 이러한 Base64 인코딩은 RFC 7469, 섹션 2.4에 정의된 바와 같이 SPKI 지문과 동일한 형식을 가집니다. 인식되지 않는 해시 알고리즘은 무시됩니다. 현재 지원되는 유일한 해시 알고리즘은 'sha256'입니다.

이 정책이 설정되지 않는 경우 인증서 투명성을 통해 공개되어야 하는 인증서가 인증서 투명성 정책에 따라 공개되지 않은 경우 신뢰할 수 없는 인증서로 처리됩니다.

예시:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==


지원: Microsoft Windows 7 또는 Windows Server 2008 이상 제품군
subjectPublicKeyInfo 해시 목록에 인증서 투명성 시행 사용 중지

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

관리 템플릿(컴퓨터)

관리 템플릿(사용자)