Kandji

Zertifikate in Kandji ausstellen, indem SCEPman als externe CA verbunden wird. Geräte können Zertifikate über die statische Schnittstelle von SCEPman und ein angemeldetes Challenge-Passwort erhalten.

SCEPman kann verbunden werden mit Kandji als externe CA über SCEPmans statische Schnittstelle, und ein Challenge-Passwort kann von registrierten Geräten verwendet werden, um Zertifikate zu erhalten.

Für allgemeinere Informationen über andere MDM-Lösungen und die SCEPman-Integration sehen Sie bitte hier.

Kandji-Integration aktivieren

Die Integration von SCEPman kann ganz einfach über die folgenden Umgebungsvariablen im SCEPman App Service aktiviert werden:

Sie können zwischen dem SCEPman App Service und dem Certificate Master unterscheiden, indem Sie nach dem App Service ohne dem "-cm" in seinem Namen suchen

Einstellung

Beschreibung

Wert

AppConfig:StaticValidation:Enabled

Validierung von Drittanbietern aktivieren

true zum Aktivieren, false zum Deaktivieren

AppConfig:StaticValidation:RequestPassword

Zertifikatsignierungsanforderungen, die zur Signierung an SCEPman gesendet werden, werden mit diesem sicheren statischen Passwort authentifiziert Empfehlung: Speichern Sie dieses Geheimnis in Azure KeyVault.

generieren Sie ein Passwort mit 32 Zeichen

AppConfig:StaticValidation:ValidityPeriodDays (optional)

Tage, für die über Kandji ausgestellte Zertifikate gültig sind

365

AppConfig:StaticValidation:EnableCertificateStorage (optional)

Speichern Sie angeforderte Zertifikate im Storage Account, um sie im SCEPman Certificate Master anzuzeigen

true zum Aktivieren, false zum Deaktivieren

Nach dem Hinzufügen oder Bearbeiten von SCEPman-Konfigurationsparametern müssen Sie den App Service neu starten.

Kandji-Konfiguration

SCEPman-Root-Zertifikat

Als ersten Schritt müssen Sie SCEPmans Root-Zertifikat bereitstellen. Laden Sie dieses CA-Zertifikat über die SCEPman-Website herunter:

Navigieren Sie in Kandji zu Library in der linken Navigationsleiste und fügen Sie ein Certificate Library Item zu Ihrem Blueprint hinzu.

Um das Zertifikat hochzuladen, wählen Sie zuerst PKCS #1-formatiertes Zertifikat unter Zertifikatstyp, geben Sie anschließend optional einen Namen an, laden Sie Ihr SCEPman-CA-Zertifikat hoch und speichern Sie es schließlich.

SCEP-Profil

Der zweite Schritt besteht darin, ein SCEP-Profil zu Ihrem Blueprinthinzuzufügen. Fügen Sie daher ein neues SCEP Library Item hinzu und konfigurieren Sie es wie unten gezeigt:

URL: Der statische SCEP-Endpunkt von SCEPman, den Sie konfiguriert haben oben
Name: Ein optionales SAN-Attribut
Challenge: Wird benötigt, um CSR-Anfragen zu authentifizieren, die an SCEPmans statische SCEP-Schnittstelle gesendet werden. Es muss mit dem Wert übereinstimmen, das Sie konfiguriert haben oben.
Fingerprint: Optionaler CA-Fingerabdruck. Es wird dringend empfohlen, diesen Wert zu konfigurieren, da er eine zusätzliche Sicherheitsebene bietet. Sie finden ihn auf Ihrer SCEPman-Website als CA Thumbprint.
Subject: Optionaler Subject-Name. CN=$PROFILE_UUID wird automatisch von Kandji als Standard-Common-Name hinzugefügt. Kandji ermöglicht es Ihnen, mehrere CNs hinzuzufügen.

Wir haben Fälle beobachtet, in denen macOS und iOS Probleme beim automatischen Auswählen von Client-Zertifikaten für Netzwerk-Authentifizierungszwecke hatten, wenn mehr als zwei CNs hinzugefügt wurden.

Schlüsselgröße: 2048
Key Usage: Sowohl Signierung als auch Verschlüsselung

Für weitere Informationen sehen Sie bitte Kandjis Dokumentation.

Bereitstellungsstatus

Nach dem Speichern des Zertifikats oder SCEP-Profils wechseln Sie zu Status um den Bereitstellungsstatus auf Blueprints zugewiesenen Geräten zu überprüfen.

Zuletzt aktualisiert vor 8 Monaten

War das hilfreich?

Guten Tag

hashtagKandji-Integration aktivieren

hashtagKandji-Konfiguration

hashtagSCEPman-Root-Zertifikat

hashtagSCEP-Profil

hashtagBereitstellungsstatus

Kandji-Integration aktivieren

Kandji-Konfiguration

SCEPman-Root-Zertifikat

SCEP-Profil

Bereitstellungsstatus