对列出的旧证书颁发机构禁用证书透明度强制

针对旧证书颁发机构(Ca)列表禁用实施证书透明度要求。

此策略允许你对包含具有所指定 subjectPublicKeyInfo 哈希之一的证书的证书链禁用证书透明度公开要求。这样,你可以使用原来因未被正确公开但却继续用于企业主机而不受信任的证书。

为了禁用证书透明度实施要求,必须将哈希设置为出现在 CA 证书中并且被识别为旧证书颁发机构(CA)的 subjectPublicKeyInfo。旧 CA 是默认情况下已被 Microsoft Edge 所支持的一个或多个操作系统公开信任的 CA。

通过连接哈希算法名称、"/" 字符和对指定证书的 DER 编码 subjectPublicKeyInfo 应用的哈希算法的 Base64 编码,可以指定 subjectPublicKeyInfo 哈希。此 Base64 编码与 SPKI 指纹的格式相同,如 RFC 7469 第 2.4 节中所定义。无法识别的哈希算法会被忽略。目前唯一支持的哈希算法是 "sha256"。

如果未配置此策略,则任何需要通过证书透明度公开的证书在未根据证书透明度策略公开的情况下,都将被视为不受信任。

示例值:

sha256/AAAAAAAAAAAAAAAAAAAAAA==
sha256//////////////////////w==

支持的平台: Microsoft Edge 版本 77,Windows 7 或更高版本

对列出的旧证书颁发机构禁用证书透明度强制

Registry HiveHKEY_LOCAL_MACHINE or HKEY_CURRENT_USER
Registry PathSoftware\Policies\Microsoft\Edge\CertificateTransparencyEnforcementDisabledForLegacyCas
Value Name{number}
Value TypeREG_SZ
Default Value

msedge.admx

管理模板(计算机)

管理模板(用户)