Allgemeine Konfiguration
SCEPman kann als Externe CA über einen dedizierten Jamf-Endpunkt von SCEPman mit Jamf Pro verbunden werden, sodass registrierte Benutzer und Geräte Zertifikate erhalten können. Jamf Pro fungiert als SCEP-Proxy und vermittelt die Kommunikation zwischen SCEPman und Jamf-Pro-Geräten.
Jamf-Integration aktivieren
Die Jamf-Integration von SCEPman kann ganz einfach über die folgenden Umgebungsvariablen auf SCEPman App Service:
Jamf authentifiziert seine Zertifikatsanforderungen bei SCEPman mit diesem sicheren Passwort.
Erwägen Sie, dies als Geheimnis in Ihrem SCEPman zu hinterlegen KeyVault.
max. 32-stelliges Passwort
AppConfig:JamfValidation:ValidityPeriodDays (optional)
Wie viele Tage sollen über Jamf ausgestellte Zertifikate höchstens gültig sein?
365
Aktivieren Sie diese Einstellung, um Jamf-Zertifikate im Certificate Master zu speichern
wahr oder falsch (Standard)
API-Verbindung
SCEPman muss mit der Jamf-API verbunden werden, um den Status der aufgenommenen Clients zu prüfen. Dies wird für den Widerruf von Zertifikaten verwendet.
Beziehen Sie sich auf die Jamf-Dokumentation dazu, wie eine API-Rolle und ein API-Client erstellt werden. Der API-Client muss eine Rolle mit diesen Berechtigungen haben:
Mobile Geräte lesen
Computer lesen
Benutzer lesen
Bitte definieren Sie die folgenden Umgebungsvariablen in Ihrem SCEPman App Service:
Der Wert des Client Secret für die API-Client-Konfiguration.
Erwägen Sie, dies als Geheimnis in Ihrem SCEPman zu hinterlegen KeyVault.
Siehe Jamf Client Secret
Die Classic API von Jamf Pro unterstützt seit Version 10.35.0 die Bearer-Authentifizierung. Seit Version 10.36.0 gibt es eine Einstellung zum Deaktivieren der bisherigen Authentifizierungsmethode, der Basic Authentication. Eine zukünftige Jamf-Version, die für August bis Dezember 2022 geplant ist, wird die Unterstützung für Basic Authentication entfernen. SCEPman 2.0 und älter unterstützen für die Classic API nur Basic Authentication, während SCEPman 2.1 und höher Bearer Authentication verwendet. Um Bearer Authentication zu verwenden, müssen Sie auf SCEPman 2.1 oder höher aktualisieren.
Verbindung mit Externer CA
Öffnen Sie die Jamf Pro-Einstellungen und wählen Sie unter "Global Management" "PKI Certificates":

Wechseln Sie zum Tab "Management Certificate Template", "External CA" und aktivieren Sie den Bearbeitungsmodus. Bitte aktivieren Sie Jamf Pro als "SCEP Proxy für Konfigurationsprofile":

Bitte füllen Sie die folgenden Felder aus und speichern Sie die Konfiguration:
Name
Name der Instanz
SCEPman Contoso
Subject
Entitäten gemäß X.500-Standard
O=Contoso
Challenge-Typ
Challenge-Typ zur Überprüfung der Zertifikatsausstellung
Static
(Verify) Challenge
vorab gemeinsam genutztes Geheimnis (Challenge)
in SCEPman definiert über AppConfig Parameter
Schlüsselgröße
Schlüsselgröße in Bit
2048
Als digitale Signatur verwenden
Ja (falls erforderlich)
Für Schlüsselverschlüsselung verwenden
Ja (falls erforderlich)
Fingerprint
Thumbprint des SCEPman CA-Zertifikats (SHA-1)
sichtbar über das SCEPman-Dashboard ("CA Thumbprint")

Signaturzertifikat
Bei Verwendung einer externen CA verlangt Jamf, dass Sie das CA-Zertifikat hinzufügen, damit Jamf vergleichen kann, ob die Zertifikate korrekt signiert sind. Jamf erlaubt das Hinzufügen eines CA-Zertifikats jedoch nur, wenn Sie auch ein Signaturzertifikat mit einem entsprechenden privaten Schlüssel hinzufügen. Jamf verwendet dieses Signaturzertifikat, um Zertifikatsanforderungen zu signieren, die an SCEPman gesendet werden. SCEPman wertet jedoch die Signatur auf Anfragen nicht aus und akzeptiert sogar unsignierte Anfragen (z. B. von Intune), da sich die Gültigkeit der Anfrage ausschließlich daraus ergibt, dass das in Jamf konfigurierte richtige Kennwort für die Anfrage-Challenge verwendet wird.
Klicken Sie dann in der External-CA-Konfiguration von Jamf auf "Change Signing and CA Certificates"

Laden Sie im Assistenten die PFX-Datei mit dem Signaturzertifikat bei Jamf hoch, wenn Sie dazu aufgefordert werden (Hinweis: Pkcs#12 und PFX sind Synonyme). Geben Sie in den nächsten Schritten das Kennwort für die PFX-Datei ein und bestätigen Sie die Auswahl des Signaturzertifikats. Im Tab "Upload CA Certificate" müssen Sie das SCEPman-CA-Zertifikat hochladen. Sie können das SCEPman-CA-Zertifikat erhalten, indem Sie auf den Link "Get CA Certificate" oben rechts auf der Startseite Ihrer SCEPman-Instanz klicken. Bestätigen Sie anschließend Ihre Änderungen.
Zuletzt aktualisiert
War das hilfreich?