停用強制執行 subjectPublicKeyInfo 雜湊清單的 [憑證透明度] 要求。
此原則可讓您停用 [憑證透明度] 揭露對具有包含指定 subjectPublicKeyInfo 雜湊之一憑證的憑證鏈結要求。這會允許那些因未公開揭露而仍未用於 [企業] 主機而不受信任的憑證。
設定此原則時,若要停用 [憑證透明度] 強化,必須符合下列條件集合中的其中一個:
1. 雜湊屬於伺服器憑證的 subjectPublicKeyInfo。
2. 雜湊屬於憑證鏈結內 CA 憑證中出現的 subjectPublicKeyInfo,該CA 憑證會受到 X.509v3 nameConstraints 擴充功能限制,一或多個 directoryName nameConstraints 都存在於 permittedSubtrees 中,且 subjectPublicKeyInfo 和directoryName 均包含 organizationName 屬性。
3. 雜湊屬於憑證鏈結內 CA 憑證中出現的 subjectPublicKeyInfo,該 CA 憑證在憑證 [主體] 中有一或多個 organizationName 屬性,且伺服器的憑證包含相同數目的 organizationName 屬性,順序與位元組的值均相同。
您可以透過串連雜湊演算法名稱、「/」字元,與適用於指定憑證的 DER 編碼的 subjectPublicKeyInfo 雜湊演算法的 Base64 編碼指定 subjectPublicKeyInfo 雜湊。此 Base64 編碼與 [SPKI 指紋] 格式相同,定義與區段 2.4、RFC 7469 中相同。無法辨識的雜湊演算法會略過。目前唯一支援的雜湊演算法是「sha256」。
如果您停用此原則或未設定,且憑證未依照 [憑證透明度] 原則揭露,則任何要求由 [憑證透明度] 揭露的憑證會被視為不受信任。
範例值:
sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==
Registry Hive | HKEY_LOCAL_MACHINE or HKEY_CURRENT_USER |
Registry Path | Software\Policies\Microsoft\Edge\CertificateTransparencyEnforcementDisabledForCas |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |