circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Allgemeine Konfiguration

SCEPman kann als externe CA über einen dedizierten Jamf-Endpunkt von SCEPman mit Jamf Pro verbunden werden, sodass registrierte Benutzer und Geräte Zertifikate erhalten können. Jamf Pro fungiert als SCEP-Proxy und leitet die Kommunikation zwischen SCEPman und Jamf Pro-Geräten weiter.

hashtag
Jamf-Integration aktivieren

Die Jamf-Integration von SCEPman kann einfach über die folgenden Umgebungsvariablen in SCEPman App Service:

Einstellung
Beschreibung
Beispiel

AppConfig:JamfValidation:Enabled

Möchten Sie SCEPman mit Jamf verwenden?

true

AppConfig:JamfValidation:RequestPassword

Jamf authentifiziert seine Zertifikatsanforderungen bei SCEPman mit diesem sicheren Passwort.

Erwägen Sie, dies als Secret in Ihrem SCEPman hinzuzufügen KeyVault.

max 32-stelliges Passwort

AppConfig:JamfValidation:ValidityPeriodDays (optional)

Für wie viele Tage sollen über Jamf ausgestellte Zertifikate höchstens gültig sein?

365

AppConfig:JamfValidation:EnableCertificateStorage (optional)

Aktivieren Sie diese Einstellung, um Jamf-Zertifikate im Certificate Master zu speichern

true oder false (Standard)

hashtag
API-Verbindung

SCEPman muss mit der Jamf-API verbunden sein, um den Status der registrierten Clients zu prüfen. Dies wird für die Sperrung (Revocation) von Zertifikaten verwendet.

Siehe die Jamf-Dokumentationarrow-up-right wie man eine API-Rolle und einen API-Client erstellt. Der API-Client muss eine Rolle mit folgenden Berechtigungen haben:

  • Mobile Devices lesen

  • Computer lesen

  • Benutzer lesen

Bitte definieren Sie die folgenden Umgebungsvariablen in Ihrem SCEPman App Service:

Einstellung
Beschreibung
Beispiel

AppConfig:JamfValidation:URL

Die URL Ihrer Jamf-Instanz

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Die Kennung (Identifier) des Jamf-API-Clients

Siehe Jamf ClientIdarrow-up-right

AppConfig:JamfValidation:ClientSecret

Der Client-Secret-Wert für die API-Client-Konfiguration.

Erwägen Sie, dies als Secret in Ihrem SCEPman hinzuzufügen KeyVault.

Siehe Jamf Client Secretarrow-up-right

circle-exclamation

Die Classic API von Jamf Pro unterstützt Bearer-Authentifizierung seit Version 10.35.0. Es gibt eine Einstellung, um die vorherige Authentifizierungsmethode, die Basic-Authentifizierung, seit Version 10.36.0 zu deaktivieren. Eine zukünftige Jamf-Version, geplant für August–Dezember 2022, wird die Unterstützung für Basic-Authentifizierung entfernen. SCEPman 2.0 und niedriger unterstützen für die Classic API nur Basic-Authentifizierung, während SCEPman 2.1 und höher Bearer-Authentifizierung verwendet. Um Bearer-Authentifizierung zu nutzen, müssen Sie auf SCEPman 2.1 oder höher aktualisieren.

hashtag
Verbindung zur externen CA

Öffnen Sie die Jamf Pro-Einstellungen und wählen Sie unter „Global Management“ den Punkt „PKI Certificates“:

Wechseln Sie zum Tab „Management Certificate Template“, „External CA“ und aktivieren Sie den Bearbeitungsmodus. Bitte aktivieren Sie Jamf Pro als „SCEP Proxy for configuration profiles“:

Bitte füllen Sie die folgenden Felder aus und speichern Sie die Konfiguration:

Feld
Beschreibung
Beispiel/Wert

URL

URL zu SCEPman

Tun Sie NICHT Vergessen Sie das /jamf am Ende

https://scepman.contoso.com/jamfarrow-up-right

Name

Name der Instanz

SCEPman Contoso

Subject

Entitäten nach dem X.500-Standard

O=Contoso

Challenge-Typ

Challenge-Typ für die Verifizierung der Zertifikatsausstellung

Statisch

(Verify) Challenge

voreingestelltes Geheimnis (Challenge)

definiert in SCEPman via AppConfig Parameter

Schlüssellänge

Schlüssellänge in Bit

2048

Als digitale Signatur verwenden

Ja (falls erforderlich)

Für Schlüsselschutz (Key Encipherment) verwenden

Ja (falls erforderlich)

Fingerprint

Daumenabdruck des SCEPman CA-Zertifikats (SHA-1)

sichtbar über das SCEPman-Dashboard („CA Thumbprint“)

hashtag
Signaturzertifikat

Wenn eine externe CA verwendet wird, verlangt Jamf, dass Sie das CA-Zertifikat hinzufügen, damit Jamf vergleichen kann, ob die Zertifikate korrekt signiert sind. Jamf erlaubt das Hinzufügen eines CA-Zertifikats jedoch nur, wenn Sie auch ein Signaturzertifikat mit dem entsprechenden privaten Schlüssel hinzufügen. Jamf verwendet dieses Signaturzertifikat, um Zertifikatsanfragen zu signieren, die an SCEPman gesendet werden. SCEPman bewertet die Signatur der Anfragen jedoch nicht und akzeptiert auch unsignierte Anfragen (z. B. von Intune), da die Gültigkeit der Anfrage allein durch die Verwendung des richtigen Request-Challenge-Passworts bestimmt wird, das in Jamf konfiguriert ist.

Klicken Sie dann in der External-CA-Konfiguration von Jamf auf „Change Signing and CA Certificates“

Laden Sie im Assistenten die PFX-Datei mit dem Signaturzertifikat in Jamf hoch, wenn Sie dazu aufgefordert werden (Hinweis: Pkcs#12 und PFX sind Synonyme). Geben Sie in den nächsten Schritten das Passwort für die PFX-Datei ein und bestätigen Sie die Auswahl des Signaturzertifikats. Im Tab „Upload CA Certificate“ müssen Sie das SCEPman-CA-Zertifikat hochladen. Sie erhalten das SCEPman-CA-Zertifikat, indem Sie auf der Startseite Ihrer SCEPman-Instanz oben rechts auf den Link „Get CA Certificate“ klicken. Bestätigen Sie schließlich Ihre Änderungen.

Zuletzt aktualisiert

War das hilfreich?