リストで指定された subjectPublicKeyInfo ハッシュに対して Certificate Transparency(証明書の透明性)の適用を無効にする

リストで指定された subjectPublicKeyInfo ハッシュに対して、Certificate Transparency(証明書の透明性)の要件の適用を無効にします。

このポリシーを使用すると、指定された subjectPublicKeyInfo ハッシュの 1 つを使用している証明書を含む証明書チェーンに対して、Certificate Transparency(証明書の透明性)の開示要件を無効にできます。これにより、適切に公開されていないことを理由に通常であれば信頼できないものとして扱われる証明書を、企業のホストで引き続き使用できるようになります。

このポリシーを設定したときに Certificate Transparency(証明書の透明性)の適用が無効になるためには、次のいずれかの条件を満たしている必要があります。
1. サーバー証明書の subjectPublicKeyInfo のハッシュを使用していること。
2. 証明書チェーン内の CA 証明書に出現する subjectPublicKeyInfo のハッシュを使用していて、その CA 証明書に X.509v3 nameConstraints 拡張による制約が適用されること。さらに、permittedSubtrees に directoryName nameConstraints が 1 つ以上存在していて、その directoryName に organizationName 属性が含まれていること。
3. 証明書チェーン内の CA 証明書に出現する subjectPublicKeyInfo のハッシュを使用していて、その CA 証明書のサブジェクトに organizationName 属性が 1 つ以上含まれていること。さらに、サーバーの証明書にも同じ数の organizationName 属性が同じ順序で含まれ、それらの値がバイト単位で同一であること。

subjectPublicKeyInfo ハッシュの構成は、まずハッシュ アルゴリズム名、次に「/」文字、その次に、指定された証明書の DER エンコード済み subjectPublicKeyInfo にこのハッシュ アルゴリズムを適用して Base64 エンコードした文字列となります。この Base64 エンコードは、RFC 7469 の 2.4 項で規定されている SPKI フィンガープリントと同じフォーマットを使用します。認識できないハッシュ アルゴリズムは無視されます。現時点でサポートされているハッシュ アルゴリズムは、「sha256」のみです。

このポリシーが未設定の場合、Certificate Transparency(証明書の透明性)により開示することが要件となっている証明書はすべて、Certificate Transparency(証明書の透明性)ポリシーに従って公開されていない場合は信頼できないものとして扱われます。

サンプル値:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

サポートされるバージョン: Windows 7 以降および Microsoft Windows Server 2008 ファミリ以降

リストで指定された subjectPublicKeyInfo ハッシュに対して Certificate Transparency(証明書の透明性)の適用を無効にする

Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Google\ChromeOS\CertificateTransparencyEnforcementDisabledForCas
Value Name{number}
Value TypeREG_SZ
Default Value

chromeos.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)