circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Allgemeine Konfiguration

SCEPman kann über einen dedizierten Jamf-Endpunkt von SCEPman als externe CA an Jamf Pro angebunden werden, sodass angemeldete Benutzer und Geräte Zertifikate erhalten können. Jamf Pro fungiert als SCEP-Proxy und vermittelt die Kommunikation zwischen SCEPman und Jamf Pro-Geräten.

hashtag
Jamf-Integration aktivieren

Die Jamf-Integration von SCEPman kann ganz einfach über die folgenden Umgebungsvariablen auf dem SCEPman-App-Dienst:

Einstellung
Beschreibung
Beispiel

AppConfig:JamfValidation:Enabled

Möchten Sie SCEPman mit Jamf verwenden?

true

AppConfig:JamfValidation:RequestPassword

Jamf authentifiziert seine Zertifikatsanforderungen bei SCEPman mit diesem sicheren Kennwort.

Erwägen Sie, dies als Geheimnis in Ihrem SCEPman hinzuzufügen KeyVault.

max. 32-stelliges Kennwort

AppConfig:JamfValidation:ValidityPeriodDays (optional)

Wie viele Tage dürfen über Jamf ausgestellte Zertifikate höchstens gültig sein?

365

AppConfig:JamfValidation:EnableCertificateStorage (optional)

Aktivieren Sie diese Einstellung, um Jamf-Zertifikate in Certificate Master zu speichern

wahr oder falsch (Standard)

hashtag
API-Verbindung

SCEPman muss mit der Jamf-API verbunden werden, um den Status der onboardierten Clients zu prüfen. Dies wird für den Widerruf von Zertifikaten verwendet.

Lesen Sie die Jamf-Dokumentationarrow-up-right darüber, wie Sie eine API-Rolle und einen API-Client erstellen. Der API-Client muss über eine Rolle mit diesen Berechtigungen verfügen:

  • Mobile Geräte lesen

  • Computer lesen

  • Benutzer lesen

Bitte definieren Sie die folgenden Umgebungsvariablen in Ihrem SCEPman App Service:

Einstellung
Beschreibung
Beispiel

AppConfig:JamfValidation:URL

Die URL Ihrer Jamf-Instanz

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Die Kennung des Jamf-API-Clients

Siehe Jamf ClientIdarrow-up-right

AppConfig:JamfValidation:ClientSecret

Der Client-Secret-Wert für die API-Client-Konfiguration.

Erwägen Sie, dies als Geheimnis in Ihrem SCEPman hinzuzufügen KeyVault.

Siehe Jamf Client Secretarrow-up-right

circle-exclamation

Die Classic API von Jamf Pro unterstützt seit Version 10.35.0 die Bearer-Authentifizierung. Seit Version 10.36.0 gibt es eine Einstellung, mit der die vorherige Authentifizierungsmethode, die Basic Authentication, deaktiviert werden kann. Eine zukünftige Jamf-Version, die für August–Dezember 2022 geplant ist, wird die Unterstützung für Basic Authentication entfernen. SCEPman 2.0 und niedriger unterstützen für die Classic API nur Basic Authentication, während SCEPman 2.1 und höher Bearer Authentication verwendet. Um Bearer Authentication zu verwenden, müssen Sie auf SCEPman 2.1 oder höher aktualisieren.

hashtag
Verbindung zur externen CA

Öffnen Sie die Jamf-Pro-Einstellungen und wählen Sie unter "Global Management" "PKI Certificates":

Wechseln Sie zur Registerkarte "Management Certificate Template", "External CA" und aktivieren Sie den Bearbeitungsmodus. Bitte aktivieren Sie Jamf Pro als "SCEP-Proxy für Konfigurationsprofile":

Bitte füllen Sie die folgenden Felder aus und speichern Sie die Konfiguration:

Feld
Beschreibung
Beispiel/Wert

URL

URL zu SCEPman

NICHT Vergessen Sie das /jamf am Ende

https://scepman.contoso.com/jamfarrow-up-right

Name

Name der Instanz

SCEPman Contoso

Betreff

Entitäten gemäß X.500-Standard

O=Contoso

Challenge-Typ

Challenge-Typ zur Überprüfung der Zertifikatsausstellung

Static

(Verify) Challenge

vorab gemeinsam genutztes Geheimnis (Challenge)

in SCEPman definiert über AppConfig Parameter

Schlüssellänge

Schlüssellänge in Bits

2048

Als digitale Signatur verwenden

Ja (falls erforderlich)

Zur Schlüsselverschlüsselung verwenden

Ja (falls erforderlich)

Fingerabdruck

Thumbprint des SCEPman-CA-Zertifikats (SHA-1)

sichtbar über das SCEPman-Dashboard ("CA Thumbprint")

hashtag
Signaturzertifikat

Wenn Sie eine externe CA verwenden, verlangt Jamf, dass Sie das CA-Zertifikat hinzufügen, damit Jamf vergleichen kann, ob die Zertifikate korrekt signiert sind. Jamf erlaubt das Hinzufügen eines CA-Zertifikats jedoch nur, wenn Sie auch ein Signaturzertifikat mit einem entsprechenden privaten Schlüssel hinzufügen. Jamf verwendet dieses Signaturzertifikat, um Zertifikatsanforderungen zu signieren, die an SCEPman gesendet werden. SCEPman bewertet die Signatur von Anforderungen jedoch nicht und akzeptiert sogar unsignierte Anforderungen (z. B. von Intune), da die Gültigkeit der Anforderung ausschließlich aus der Verwendung des richtigen in Jamf konfigurierten Challenge-Kennworts resultiert.

Klicken Sie dann in der externen CA-Konfiguration von Jamf auf "Change Signing and CA Certificates"

Laden Sie im Assistenten die PFX-Datei mit dem Signaturzertifikat in Jamf hoch, wenn Sie dazu aufgefordert werden (Hinweis: Pkcs#12 und PFX sind Synonyme). Geben Sie in den nächsten Schritten das Kennwort für die PFX-Datei ein und bestätigen Sie die Auswahl des Signaturzertifikats. In der Registerkarte "Upload CA Certificate" müssen Sie das SCEPman-CA-Zertifikat hochladen. Sie können das SCEPman-CA-Zertifikat erhalten, indem Sie oben rechts auf der Startseite Ihrer SCEPman-Instanz auf den Link "Get CA Certificate" klicken. Bestätigen Sie abschließend Ihre Änderungen.

Zuletzt aktualisiert

War das hilfreich?