circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Allgemeine Konfiguration

SCEPman kann über einen dedizierten Jamf-Endpunkt von SCEPman als externe CA mit Jamf Pro verbunden werden, wodurch eingeschriebene Benutzer und Geräte Zertifikate erhalten können. Jamf Pro fungiert als SCEP-Proxy und leitet die Kommunikation zwischen SCEPman und Jamf Pro-Geräten weiter.

hashtag
Jamf-Integration aktivieren

Die Jamf-Integration von SCEPman kann über die folgenden Umgebungsvariablen auf einfache Weise aktiviert werden in SCEPman App-Service:

Einstellung
Beschreibung
Intune MDM

AppConfig:JamfValidation:Enabled

Möchten Sie SCEPman mit Jamf verwenden?

true

AppConfig:JamfValidation:RequestPassword

Jamf authentifiziert seine Zertifikatsanfragen bei SCEPman mit diesem sicheren Passwort.

Erwägen Sie, dies als Geheimnis in Ihrem SCEPman hinzuzufügen KeyVault.

max 32-stelliges Passwort

AppConfig:JamfValidation:ValidityPeriodDays (optional)

Wie viele Tage sollen über Jamf ausgestellte Zertifikate maximal gültig sein?

365

AppConfig:JamfValidation:EnableCertificateStorage (optional)

Aktivieren Sie diese Einstellung, um Jamf-Zertifikate im Certificate Master zu speichern

true oder false (Standard)

hashtag
API-Verbindung

SCEPman muss mit der Jamf-API verbunden sein, um den Status von angemeldeten Clients zu überprüfen. Dies wird für die Widerrufung von Zertifikaten verwendet.

Beziehen Sie sich auf die Jamf-Dokumentationarrow-up-right wie Sie eine API-Rolle und einen API-Client erstellen. Der API-Client muss eine Rolle mit folgenden Berechtigungen haben:

  • Mobile Geräte lesen

  • Computer lesen

  • Benutzer lesen

Bitte definieren Sie die folgenden Umgebungsvariablen in Ihrem SCEPman App Service:

Einstellung
Beschreibung
Intune MDM

AppConfig:JamfValidation:URL

Die URL Ihrer Jamf-Instanz

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Die Kennung des Jamf-API-Clients

Siehe Jamf ClientIdarrow-up-right

AppConfig:JamfValidation:ClientSecret

Der Client-Secret-Wert für die API-Client-Konfiguration.

Erwägen Sie, dies als Geheimnis in Ihrem SCEPman hinzuzufügen KeyVault.

Siehe Jamf Client Secretarrow-up-right

circle-exclamation

Die Classic API von Jamf Pro unterstützt Bearer-Authentifizierung seit Version 10.35.0. Es gibt seit Version 10.36.0 eine Einstellung, die die vorherige Authentifizierungsmethode, die Basic-Authentifizierung, deaktivieren kann. Eine zukünftige Jamf-Version, geplant für August–Dezember 2022, wird die Unterstützung für die Basic-Authentifizierung entfernen. SCEPman 2.0 und niedriger unterstützen nur die Basic-Authentifizierung für die Classic API, während SCEPman 2.1 und höher Bearer-Authentifizierung verwendet. Um Bearer-Authentifizierung zu nutzen, müssen Sie auf SCEPman 2.1 oder höher aktualisieren.

hashtag
Verbindung zur externen CA

Öffnen Sie die Jamf Pro-Einstellungen und wählen Sie unter "Global Management" den Punkt "PKI Certificates":

Wechseln Sie zur Registerkarte "Management Certificate Template", "External CA" und aktivieren Sie den Bearbeitungsmodus. Bitte aktivieren Sie Jamf Pro als "SCEP Proxy for configuration profiles":

Bitte füllen Sie die folgenden Felder aus und speichern Sie die Konfiguration:

Feld
Beschreibung
Beispiel/Wert

URL

URL zu SCEPman

Tun Sie NICHT Vergessen Sie das /jamf am Ende

https://scepman.contoso.com/jamfarrow-up-right

Name

Name der Instanz

SCEPman Contoso

Subject

Entitäten nach X.500-Standard

O=Contoso

Challenge-Typ

Challenge-Typ zur Überprüfung der Zertifikatsausstellung

Static

(Verify) Challenge

vorgegebenes Geheimnis (Challenge)

in SCEPman definiert via AppConfig Parameter

Schlüssellänge

Schlüssellänge in Bit

2048

Als digitale Signatur verwenden

Ja (falls benötigt)

Zur Schlüsselverschlüsselung verwenden

Ja (falls benötigt)

Fingerprint

Daumenabdruck des SCEPman CA-Zertifikats (SHA-1)

sichtbar über das SCEPman-Dashboard ("CA Thumbprint")

hashtag
Signierzertifikat

Bei Verwendung einer externen CA verlangt Jamf, dass Sie das CA-Zertifikat hinzufügen, damit Jamf vergleichen kann, ob die Zertifikate korrekt signiert sind. Jamf erlaubt jedoch nur das Hinzufügen eines CA-Zertifikats, wenn Sie außerdem ein Signierzertifikat mit entsprechendem privaten Schlüssel hinzufügen. Jamf verwendet dieses Signierzertifikat, um Zertifikatsanfragen zu signieren, die an SCEPman gesendet werden. SCEPman bewertet jedoch die Signatur in Anfragen nicht und akzeptiert auch unsignierte Anfragen (z. B. von Intune), weil die Gültigkeit der Anfrage allein durch die Verwendung des richtigen Request-Challenge-Passworts bestimmt wird, das in Jamf konfiguriert ist.

Daher können Sie jedes beliebige Zertifikat als Signierzertifikat verwenden, zum Beispiel können Sie ein selbstsigniertes Zertifikat mit dem folgenden PowerShell-Befehl erstellen:

Klicken Sie dann in der External-CA-Konfiguration von Jamf auf "Change Signing and CA Certificates"

Laden Sie im Assistenten die PFX-Datei mit dem Signierzertifikat in Jamf hoch, wenn Sie dazu aufgefordert werden (Hinweis: Pkcs#12 und PFX sind Synonyme). Geben Sie in den nächsten Schritten das Passwort für die PFX-Datei ein und bestätigen Sie die Auswahl des Signierzertifikats. In der Registerkarte "Upload CA Certificate" müssen Sie das SCEPman-CA-Zertifikat hochladen. Sie können das SCEPman-CA-Zertifikat erhalten, indem Sie auf den Link "Get CA Certificate" oben rechts auf der Startseite Ihrer SCEPman-Instanz klicken. Abschließend bestätigen Sie Ihre Änderungen.

Zuletzt aktualisiert

War das hilfreich?