circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search
Ctrlk

Allgemeine Konfiguration

SCEPman kann als Externe CA über einen dedizierten Jamf-Endpunkt von SCEPman mit Jamf Pro verbunden werden, sodass registrierte Benutzer und Geräte Zertifikate erhalten können. Jamf Pro fungiert als SCEP-Proxy und vermittelt die Kommunikation zwischen SCEPman und Jamf-Pro-Geräten.

hashtag
Jamf-Integration aktivieren

Die Jamf-Integration von SCEPman kann ganz einfach über die folgenden Umgebungsvariablen auf SCEPman App Service:

Einstellung
Beschreibung
Beispiel

AppConfig:JamfValidation:Enabled

Möchten Sie SCEPman mit Jamf verwenden?

true

AppConfig:JamfValidation:RequestPassword

Jamf authentifiziert seine Zertifikatsanforderungen bei SCEPman mit diesem sicheren Passwort.

Erwägen Sie, dies als Geheimnis in Ihrem SCEPman zu hinterlegen KeyVault.

max. 32-stelliges Passwort

AppConfig:JamfValidation:ValidityPeriodDays (optional)

Wie viele Tage sollen über Jamf ausgestellte Zertifikate höchstens gültig sein?

365

AppConfig:JamfValidation:EnableCertificateStorage (optional)

Aktivieren Sie diese Einstellung, um Jamf-Zertifikate im Certificate Master zu speichern

wahr oder falsch (Standard)

hashtag
API-Verbindung

SCEPman muss mit der Jamf-API verbunden werden, um den Status der aufgenommenen Clients zu prüfen. Dies wird für den Widerruf von Zertifikaten verwendet.

Beziehen Sie sich auf die Jamf-Dokumentationarrow-up-right dazu, wie eine API-Rolle und ein API-Client erstellt werden. Der API-Client muss eine Rolle mit diesen Berechtigungen haben:

  • Mobile Geräte lesen

  • Computer lesen

  • Benutzer lesen

Bitte definieren Sie die folgenden Umgebungsvariablen in Ihrem SCEPman App Service:

Einstellung
Beschreibung
Beispiel

AppConfig:JamfValidation:URL

Die URL Ihrer Jamf-Instanz

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Die Kennung des Jamf-API-Clients

Siehe Jamf ClientIdarrow-up-right

AppConfig:JamfValidation:ClientSecret

Der Wert des Client Secret für die API-Client-Konfiguration.

Erwägen Sie, dies als Geheimnis in Ihrem SCEPman zu hinterlegen KeyVault.

Siehe Jamf Client Secretarrow-up-right

circle-exclamation

Die Classic API von Jamf Pro unterstützt seit Version 10.35.0 die Bearer-Authentifizierung. Seit Version 10.36.0 gibt es eine Einstellung zum Deaktivieren der bisherigen Authentifizierungsmethode, der Basic Authentication. Eine zukünftige Jamf-Version, die für August bis Dezember 2022 geplant ist, wird die Unterstützung für Basic Authentication entfernen. SCEPman 2.0 und älter unterstützen für die Classic API nur Basic Authentication, während SCEPman 2.1 und höher Bearer Authentication verwendet. Um Bearer Authentication zu verwenden, müssen Sie auf SCEPman 2.1 oder höher aktualisieren.

hashtag
Verbindung mit Externer CA

Öffnen Sie die Jamf Pro-Einstellungen und wählen Sie unter "Global Management" "PKI Certificates":

Wechseln Sie zum Tab "Management Certificate Template", "External CA" und aktivieren Sie den Bearbeitungsmodus. Bitte aktivieren Sie Jamf Pro als "SCEP Proxy für Konfigurationsprofile":

Bitte füllen Sie die folgenden Felder aus und speichern Sie die Konfiguration:

Feld
Beschreibung
Beispiel/Wert

URL

URL zu SCEPman

Bitte NICHT Vergessen Sie /jamf am Ende

https://scepman.contoso.com/jamfarrow-up-right

Name

Name der Instanz

SCEPman Contoso

Subject

Entitäten gemäß X.500-Standard

O=Contoso

Challenge-Typ

Challenge-Typ zur Überprüfung der Zertifikatsausstellung

Static

(Verify) Challenge

vorab gemeinsam genutztes Geheimnis (Challenge)

in SCEPman definiert über AppConfig Parameter

Schlüsselgröße

Schlüsselgröße in Bit

2048

Als digitale Signatur verwenden

Ja (falls erforderlich)

Für Schlüsselverschlüsselung verwenden

Ja (falls erforderlich)

Fingerprint

Thumbprint des SCEPman CA-Zertifikats (SHA-1)

sichtbar über das SCEPman-Dashboard ("CA Thumbprint")

hashtag
Signaturzertifikat

Bei Verwendung einer externen CA verlangt Jamf, dass Sie das CA-Zertifikat hinzufügen, damit Jamf vergleichen kann, ob die Zertifikate korrekt signiert sind. Jamf erlaubt das Hinzufügen eines CA-Zertifikats jedoch nur, wenn Sie auch ein Signaturzertifikat mit einem entsprechenden privaten Schlüssel hinzufügen. Jamf verwendet dieses Signaturzertifikat, um Zertifikatsanforderungen zu signieren, die an SCEPman gesendet werden. SCEPman wertet jedoch die Signatur auf Anfragen nicht aus und akzeptiert sogar unsignierte Anfragen (z. B. von Intune), da sich die Gültigkeit der Anfrage ausschließlich daraus ergibt, dass das in Jamf konfigurierte richtige Kennwort für die Anfrage-Challenge verwendet wird.

Klicken Sie dann in der External-CA-Konfiguration von Jamf auf "Change Signing and CA Certificates"

Laden Sie im Assistenten die PFX-Datei mit dem Signaturzertifikat bei Jamf hoch, wenn Sie dazu aufgefordert werden (Hinweis: Pkcs#12 und PFX sind Synonyme). Geben Sie in den nächsten Schritten das Kennwort für die PFX-Datei ein und bestätigen Sie die Auswahl des Signaturzertifikats. Im Tab "Upload CA Certificate" müssen Sie das SCEPman-CA-Zertifikat hochladen. Sie können das SCEPman-CA-Zertifikat erhalten, indem Sie auf den Link "Get CA Certificate" oben rechts auf der Startseite Ihrer SCEPman-Instanz klicken. Bestätigen Sie anschließend Ihre Änderungen.

Zuletzt aktualisiert

War das hilfreich?