# Allgemeine Konfiguration
SCEPman kann als Externe CA über einen dedizierten Jamf-Endpunkt von SCEPman mit Jamf Pro verbunden werden, sodass registrierte Benutzer und Geräte Zertifikate erhalten können. Jamf Pro fungiert als SCEP-Proxy und vermittelt die Kommunikation zwischen SCEPman und Jamf-Pro-Geräten.
## Jamf-Integration aktivieren
Die Jamf-Integration von SCEPman kann ganz einfach über die folgenden Umgebungsvariablen auf **SCEPman App Service**:
| Einstellung | Beschreibung | Beispiel |
| -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ---------------------------- |
| [AppConfig:JamfValidation:Enabled](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-enabled) | Möchten Sie SCEPman mit Jamf verwenden? | true |
| [AppConfig:JamfValidation:RequestPassword](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-requestpassword) | Jamf authentifiziert seine Zertifikatsanforderungen bei SCEPman mit diesem sicheren Passwort.
Erwägen Sie, dies als Geheimnis in Ihrem SCEPman zu hinterlegen KeyVault.
| max. *32-stelliges Passwort* |
| [AppConfig:JamfValidation:ValidityPeriodDays](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-validityperioddays) (optional) | Wie viele Tage sollen über Jamf ausgestellte Zertifikate höchstens gültig sein? | 365 |
| [AppConfig:JamfValidation:EnableCertificateStorage](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-enablecertificatestorage) (optional) | Aktivieren Sie diese Einstellung, um Jamf-Zertifikate im Certificate Master zu speichern | wahr oder falsch (Standard) |
## API-Verbindung
SCEPman muss mit der Jamf-API verbunden werden, um den Status der aufgenommenen Clients zu prüfen. Dies wird für den Widerruf von Zertifikaten verwendet.
[Beziehen Sie sich auf die Jamf-Dokumentation](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html) dazu, wie eine API-Rolle und ein API-Client erstellt werden. Der API-Client muss eine Rolle mit diesen Berechtigungen haben:
* Mobile Geräte lesen
* Computer lesen
* Benutzer lesen
Bitte definieren Sie die folgenden Umgebungsvariablen in Ihrem **SCEPman App Service**:
| Einstellung | Beschreibung | Beispiel |
| --------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------- |
| [AppConfig:JamfValidation:URL](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-url) | Die URL Ihrer Jamf-Instanz | `https://contoso.jamfcloud.com` |
| [AppConfig:JamfValidation:ClientID](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-clientid) | Die Kennung des Jamf-API-Clients | Siehe [Jamf ClientId](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title3) |
| [AppConfig:JamfValidation:ClientSecret](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-clientsecret) | Der Wert des Client Secret für die API-Client-Konfiguration.
Erwägen Sie, dies als Geheimnis in Ihrem SCEPman zu hinterlegen KeyVault.
| Siehe [Jamf Client Secret](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title4) |
{% hint style="warning" %}
Die Classic API von Jamf Pro unterstützt seit Version 10.35.0 die Bearer-Authentifizierung. Seit Version 10.36.0 gibt es eine Einstellung zum Deaktivieren der bisherigen Authentifizierungsmethode, der Basic Authentication. Eine zukünftige Jamf-Version, die für August bis Dezember 2022 geplant ist, wird die Unterstützung für Basic Authentication entfernen. SCEPman 2.0 und älter unterstützen für die Classic API nur Basic Authentication, während SCEPman 2.1 und höher Bearer Authentication verwendet. Um Bearer Authentication zu verwenden, müssen Sie auf SCEPman 2.1 oder höher aktualisieren.
{% endhint %}
## Verbindung mit Externer CA
Öffnen Sie die Jamf Pro-Einstellungen und wählen Sie unter "Global Management" "PKI Certificates":
Wechseln Sie zum Tab "Management Certificate Template", "External CA" und aktivieren Sie den Bearbeitungsmodus. Bitte aktivieren Sie Jamf Pro als "SCEP Proxy für Konfigurationsprofile":
Bitte füllen Sie die folgenden Felder aus und speichern Sie die Konfiguration:
| Feld | Beschreibung | Beispiel/Wert |
| -------------------------------------- | ----------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **URL** | URL zu SCEPman
Bitte NICHT Vergessen Sie /jamf am Ende
| |
| **Name** | Name der Instanz | SCEPman Contoso |
| **Subject** | Entitäten gemäß X.500-Standard | O=Contoso |
| **Challenge-Typ** | Challenge-Typ zur Überprüfung der Zertifikatsausstellung | Static |
| **(Verify) Challenge** | vorab gemeinsam genutztes Geheimnis (Challenge) | in SCEPman definiert über [AppConfig](/de/scepman-konfiguration/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-requestpassword) Parameter |
| Schlüsselgröße | Schlüsselgröße in Bit | 2048 |
| Als digitale Signatur verwenden | | Ja (falls erforderlich) |
| Für Schlüsselverschlüsselung verwenden | | Ja (falls erforderlich) |
| Fingerprint | Thumbprint des SCEPman CA-Zertifikats (SHA-1) | sichtbar über das SCEPman-Dashboard ("CA Thumbprint") |
### Signaturzertifikat
Bei Verwendung einer externen CA verlangt Jamf, dass Sie das CA-Zertifikat hinzufügen, damit Jamf vergleichen kann, ob die Zertifikate korrekt signiert sind. Jamf erlaubt das Hinzufügen eines CA-Zertifikats jedoch nur, wenn Sie auch ein Signaturzertifikat mit einem entsprechenden privaten Schlüssel hinzufügen. Jamf verwendet dieses Signaturzertifikat, um Zertifikatsanforderungen zu signieren, die an SCEPman gesendet werden. SCEPman wertet jedoch die Signatur auf Anfragen nicht aus und akzeptiert sogar unsignierte Anfragen (z. B. von Intune), da sich die Gültigkeit der Anfrage ausschließlich daraus ergibt, dass das in Jamf konfigurierte richtige Kennwort für die Anfrage-Challenge verwendet wird.
{% tabs %}
{% tab title="OpenSSL" %}
```shellscript
openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# Temporäre Dateien entfernen
rm tempKey.key
rm tempCert.pem
```
{% endtab %}
{% tab title="PowerShell" %}
```powershell
$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)
```
{% endtab %}
{% endtabs %}
Klicken Sie dann in der External-CA-Konfiguration von Jamf auf "Change Signing and CA Certificates"
Laden Sie im Assistenten die PFX-Datei mit dem Signaturzertifikat bei Jamf hoch, wenn Sie dazu aufgefordert werden (Hinweis: Pkcs#12 und PFX sind Synonyme). Geben Sie in den nächsten Schritten das Kennwort für die PFX-Datei ein und bestätigen Sie die Auswahl des Signaturzertifikats. Im Tab "Upload CA Certificate" müssen Sie das SCEPman-CA-Zertifikat hochladen. Sie können das SCEPman-CA-Zertifikat erhalten, indem Sie auf den Link "Get CA Certificate" oben rechts auf der Startseite Ihrer SCEPman-Instanz klicken. Bestätigen Sie anschließend Ihre Änderungen.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/de/zertifikatsverwaltung/jamf/general.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.