# Benutzer

Bitte folgen Sie dieser Anleitung, um Zertifikate an Benutzer zu verteilen. Benutzerzertifikate sind sowohl auf Computern (macOS) als auch auf Geräten (z. B. iOS, iPadOS) möglich. Bevor Sie die ersten Zertifikate über Jamf bereitstellen, beachten Sie die [allgemeinen Schritten für Jamf Pro](https://docs.scepman.com/de/zertifikatsverwaltung/jamf/general) zuerst.

{% hint style="success" %}
Wir empfehlen dringend, alle für den Anwendungsfall relevanten Zertifikats-Payloads (vertrauenswürdiges Zertifikat / SCEP-Zertifikat) in einem **einzigen** Konfigurationsprofil in Jamf Pro zu konfigurieren.
{% endhint %}

{% hint style="info" %}
Beachten Sie, dass die Daten „Benutzer und Standort“ Ihrer Computer oder mobilen Geräte korrekt gepflegt sein müssen, damit Benutzerzertifikate ausgestellt werden können. Insbesondere muss der Benutzer über eine E-Mail-Adresse verfügen, da diese als eindeutige Kennung verwendet wird.
{% endhint %}

## SCEPman-Root-Zertifikat

Als ersten Schritt müssen Sie das SCEPman-Root-Zertifikat bereitstellen, falls Sie dies für die Zielplattform noch nicht getan haben. Laden Sie dieses CA-Zertifikat über das SCEPman-Dashboard herunter:

![](https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-9170eb0435726398eb43f6fac8abd0d5f35e8cc4%2FSCEPmanHomePage.png?alt=media)

Fügen Sie ein neues „Mobile Device Configuration Profile“ und/oder „macOS Configuration Profile“ hinzu, je nach Ihrer Zielplattform, und wählen Sie „Certificate“ als Payload. Geben Sie einen aussagekräftigen Namen ein und laden Sie das Zertifikat hoch (wählen Sie für „Select Certificate Option“ „Upload“):

![](https://2075553437-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-fe97ac8860afc7cc61db104dc028b871fdc3e6da%2Fimage%20\(25\).png?alt=media)

## Benutzerzertifikate auf Computern

{% hint style="info" %}
Jamf Pro kann Benutzerzertifikate nur an **MDM-fähige Benutzer**verteilen. Es gibt einige Provisionierungs-/Vorabbereitstellungs-Szenarien, in denen solche Benutzerkonten nicht erstellt werden. Weitere Informationen finden Sie in der [Jamf Pro-Dokumentation](https://docs.jamf.com/10.33.0/jamf-pro/administrator-guide/MDM-Enabled_Local_User_Accounts.html).
{% endhint %}

Unter Computers -> Configuration Profiles fügen Sie bitte ein weiteres „macOS Configuration Profile“ hinzu. Ändern Sie im Reiter „General“ die Ebene auf „User Level“. Wechseln Sie auf der linken Seite zum Reiter „SCEP“ und konfigurieren Sie eine neue SCEP-Nutzlast. Aktivieren Sie „Use the External Certificate Authority settings to enable Jamf Pro as SCEP proxy for this configuration profile“ und geben Sie die folgenden Informationen ein:

| Feld                              | Beschreibung                                         | Wert/Beispiel                                           |
| --------------------------------- | ---------------------------------------------------- | ------------------------------------------------------- |
| Name                              | Name/Zweck                                           | z. B. „User Authentication“                             |
| Profil erneut verteilen           | stellt das Profil für die Erneuerung erneut bereit   | z. B. „14 Tage“                                         |
| Betreff                           | Betreff für das Zertifikat, Ergänzungen sind möglich | CN=$JSSID,OU=users-on-computers,CN=$PROFILE\_IDENTIFIER |
| Typ des Subject Alternative Name  |                                                      | RFC 822 Name                                            |
| Wert des Subject Alternative Name |                                                      | $EMAIL                                                  |

Verteilen Sie das Profil nach Bedarf an Ihre Benutzer.

## Benutzerzertifikate auf Geräten

Unter Devices -> Configuration Profiles fügen Sie bitte ein weiteres „Mobile Device Configuration Profile“ hinzu. Belassen Sie die Ebene auf „Device Level“, da „User Level“ derzeit SCEP nicht unterstützt. Wählen Sie dann links „SCEP“ als Payload. Aktivieren Sie „Use the External Certificate Authority settings to enable Jamf Pro as SCEP proxy for this configuration profile“ und geben Sie die folgenden Informationen ein:

| Feld                              | Beschreibung                                         | Wert/Beispiel                                         |
| --------------------------------- | ---------------------------------------------------- | ----------------------------------------------------- |
| Name                              | Name/Zweck                                           | z. B. „User Authentication“                           |
| Profil erneut verteilen           | stellt das Profil für die Erneuerung erneut bereit   | z. B. „14 Tage“                                       |
| Betreff                           | Betreff für das Zertifikat, Ergänzungen sind möglich | CN=$JSSID,OU=users-on-devices,CN=$PROFILE\_IDENTIFIER |
| Typ des Subject Alternative Name  |                                                      | RFC 822 Name                                          |
| Wert des Subject Alternative Name |                                                      | $EMAIL                                                |

Verteilen Sie das Profil nach Bedarf an Ihre Clients.