不針對列出的 subjectPublicKeyInfo 雜湊強制執行憑證透明化政策

不強制要求列出的 subjectPublicKeyInfo 雜湊符合憑證透明化規定。

使用這項政策時,如果憑證鏈結中的憑證包含其中一種指定 subjectPublicKeyInfo 雜湊,系統就不會強制要求這類憑證鏈結符合憑證透明化規定。原本不受信任的憑證 (因未依規定對外公開) 將因此可繼續供企業主機使用。

如要在設定這項政策時停止強制實行憑證透明化規定,則必須符合下列其中一項條件:
1. 雜湊是伺服器憑證的 subjectPublicKeyInfo 雜湊。
2. 雜湊是憑證鏈結中的 CA 憑證所使用的 subjectPublicKeyInfo 雜湊,且該 CA 憑證受到 X.509v3 nameConstraints 擴充功能的限制。此外,permittedSubtrees 中有一或多個 directoryName nameConstraints,且 directoryName 包含 organizationName 屬性。
3. 雜湊是憑證鏈結中的 CA 憑證所使用的 subjectPublicKeyInfo 雜湊,且該 CA 憑證的憑證主體中有一或多個 organizationName 屬性。此外,伺服器的憑證包含數量與順序皆相同的 organizationName 屬性,且其中的位元對位元值也完全吻合。

雜湊的指定方法是串連雜湊演算法名稱、「/」字元,以及套用到指定憑證 subjectPublicKeyInfo (採 DER 編碼) 的雜湊演算法所採用的 Base64 編碼。這個 Base64 編碼的格式與 SPKI 指紋相同,詳細定義請見 RFC 7469 第 2.4 節。系統會忽略無法辨識的雜湊演算法。目前唯一支援的雜湊演算法為「sha256」。

如果未設定這項政策,凡是必須透過憑證透明化作業公開,但並未依憑證透明化政策確實公開的憑證,都會被視為不受信任的憑證。

範例值:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

支援的作業系統: 至少需要 Microsoft Windows 7 或 Windows Server 2008 系列產品

不針對列出的 subjectPublicKeyInfo 雜湊強制執行憑證透明化政策

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\Chrome\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chrome.admx

系統管理範本 (電腦)

系統管理範本 (使用者)