circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Kandji

Stellen Sie Zertifikate in Kandji aus, indem Sie SCEPman als externe CA verbinden. Geräte können Zertifikate über SCEPmans statische Schnittstelle und mit registriertem Challenge-Passwort erhalten.

SCEPman kann verbunden werden mit Kandjiarrow-up-right als eine externe CA über SCEPmans statische Schnittstelle, und Geräte, die mit einem Challenge-Passwort registriert wurden, können Zertifikate erhalten.

Für allgemeinere Informationen über andere MDM-Lösungen und die SCEPman-Integration, bitte prüfen Sie Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info.

hashtag
Kandji-Integration aktivieren

Die Integration von SCEPman kann einfach über die folgenden Umgebungsvariablen im SCEPman App Service aktiviert werden:

circle-info

Sie können zwischen dem SCEPman App Service und dem Certificate Master unterscheiden, indem Sie nach dem App Service suchen, ohne das "-cm" im Namen

Einstellung
Beschreibung
Wert

AppConfig:StaticValidation:Enabled

Validierung von Drittanbietern aktivieren

true zum Aktivieren, false zum Deaktivieren

AppConfig:StaticValidation:RequestPassword

Zertifikatsanforderungen, die zur Signierung an SCEPman gesendet werden, werden mit diesem sicheren statischen Passwort authentifiziert Empfehlung: Speichern Sie dieses Geheimnis in Azure KeyVault.

generieren Sie ein 32-stelliges Passwort

AppConfig:StaticValidation:ValidityPeriodDays (optional)

Tage, für die Zertifikate, die über Kandji ausgestellt wurden, gültig sind

365

AppConfig:StaticValidation:EnableCertificateStorage (optional)

Speichern Sie angeforderte Zertifikate im Storage-Konto, um sie im SCEPman Certificate Master anzuzeigen

true zum Aktivieren, false zum Deaktivieren

circle-exclamation

Nach dem Hinzufügen oder Bearbeiten von SCEPman-Konfigurationsparametern müssen Sie den App Service neu starten.

hashtag
Kandji-Konfiguration

hashtag
SCEPman Stammzertifikat

Als ersten Schritt müssen Sie das Root-Zertifikat von SCEPman bereitstellen. Laden Sie dieses CA-Zertifikat über die SCEPman-Website herunter:

SCEPman-Website

In Kandji navigieren Sie zu Bibliothek in der linken Navigationsleiste und fügen Sie ein Zertifikats-Bibliothekselement zu Ihrem Blueprint hinzu.

Konfigurieren einer Zertifikat-Payload

Um das Zertifikat hochzuladen, wählen Sie zuerst PKCS #1-formatiertes Zertifikat Client-Authentifizierung (1.3.6.1.5.5.7.3.2) Zertifikatstyp, geben Sie zweitens optional einen Namen an, laden Sie Ihr SCEPman-CA-Zertifikat hoch und speichern Sie es schließlich.

Hinzufügen des SCEPman Root-CA-Zertifikats

hashtag
SCEP-Profil

Der zweite Schritt ist, ein SCEP-Profil zu Ihrem Blueprinthinzuzufügen. Fügen Sie daher ein neues SCEP-Bibliothekselement hinzu und konfigurieren Sie es wie unten:

  • URL: Der statische SCEP-Endpunkt von SCEPman, den Sie konfiguriert haben oben

  • Name: Ein optionales SAN-Attribut

  • Challenge: Wird benötigt, um CSR-Anfragen zu authentifizieren, die an SCEPmans statische SCEP-Schnittstelle gesendet werden. Es muss mit dem Wert übereinstimmen, das Sie konfiguriert haben oben.

  • Fingerabdruck: Optionaler CA-Fingerabdruck. Es wird dringend empfohlen, diesen Wert zu konfigurieren, da er eine zusätzliche Sicherheitsebene bietet. Sie finden ihn auf Ihrer SCEPman-Website als CA-Thumbprint.

  • Subject: Optionaler Subject-Name. CN=$PROFILE_UUID wird automatisch von Kandji als standardmäßiger Common Name hinzugefügt. Kandji erlaubt es Ihnen, mehrere CNs hinzuzufügen.

circle-exclamation

Wir haben Fälle gesehen, in denen macOS und iOS Probleme beim automatischen Auswählen von Client-Zertifikaten für Netzwerk-Authentifizierungszwecke hatten, wenn mehr als zwei CNs hinzugefügt wurden.

  • Schlüssellänge: 2048

  • Schlüsselverwendung: Sowohl Signatur als auch Verschlüsselung

Für weitere Informationen prüfen Sie bitte Kandjis Dokumentationarrow-up-right.

Hinzufügen eines SCEP-Profils
SCEP-Profilkonfiguration
SCEP-Profilkonfiguration
SCEP-Profilkonfiguration

hashtag
Bereitstellungsstatus

Nach dem Speichern des Zertifikats oder des SCEP-Profils wechseln Sie zu Status um den Bereitstellungsstatus auf Blueprints zugewiesenen Geräten zu überprüfen.

Bereitstellungsstatus

Zuletzt aktualisiert

War das hilfreich?