# Configuración general SCEPman se puede conectar a Jamf Pro como una CA externa a través del endpoint dedicado de Jamf de SCEPman, permitiendo que los usuarios y dispositivos registrados obtengan certificados. Jamf Pro actúa como un proxy SCEP, intermediendo la comunicación entre SCEPman y los dispositivos de Jamf Pro. ## Habilitar la integración con Jamf La integración de Jamf de SCEPman se puede habilitar fácilmente mediante las siguientes variables de entorno en **servicio de aplicación de SCEPman**: | Configuración | Descripción | Ejemplo | | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------- | | [AppConfig:JamfValidation:Enabled](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-enabled) | ¿Desea usar SCEPman con Jamf? | true | | [AppConfig:JamfValidation:RequestPassword](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-requestpassword) |

Jamf autentica sus solicitudes de certificado en SCEPman con esta contraseña segura.

Considere agregar esto como un secreto en su KeyVault de SCEPman.

| máx. *contraseña de 32 caracteres* | | [AppConfig:JamfValidation:ValidityPeriodDays](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-validityperioddays) (opcional) | ¿Durante cuántos días como máximo deberán ser válidos los certificados emitidos mediante Jamf? | 365 | | [AppConfig:JamfValidation:EnableCertificateStorage](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-enablecertificatestorage) (opcional) | Habilite esta configuración para guardar los certificados de Jamf en Certificate Master | verdadero o falso (predeterminado) | ## Conexión API SCEPman necesita conectarse a la API de Jamf para comprobar el estado de los clientes incorporados. Esto se utiliza para la revocación de certificados. [Consulte la documentación de Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html) sobre cómo crear un rol de API y un cliente de API. El cliente de API debe tener un rol con estos permisos: * Leer dispositivos móviles * Leer equipos * Leer usuario Defina las siguientes variables de entorno en su **SCEPman App Service**: | Configuración | Descripción | Ejemplo | | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------- | | [AppConfig:JamfValidation:URL](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-url) | La URL de su instancia de Jamf | `https://contoso.jamfcloud.com` | | [AppConfig:JamfValidation:ClientID](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-clientid) | El identificador del cliente de la API de Jamf | Vea [ID de cliente de Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title3) | | [AppConfig:JamfValidation:ClientSecret](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-clientsecret) |

El valor del secreto del cliente para la configuración del cliente de API.

Considere agregar esto como un secreto en su KeyVault de SCEPman.

| Vea [Secreto de cliente de Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title4) | {% hint style="warning" %} La API clásica de Jamf Pro admite autenticación Bearer desde la versión 10.35.0. Existe una opción para deshabilitar el método de autenticación anterior, Autenticación básica, desde la versión 10.36.0. Una versión futura de Jamf programada para agosto-diciembre de 2022 eliminará el soporte para la Autenticación básica. SCEPman 2.0 e inferior solo admite Autenticación básica para la API clásica, mientras que SCEPman 2.1 y superior usa autenticación Bearer. Para usar autenticación Bearer, debe actualizar a SCEPman 2.1 o superior. {% endhint %} ## Conexión de CA externa Abra la configuración de Jamf Pro y elija "PKI Certificates" en "Global Management": ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-ba2b5fe78590c9c592ef0d65cdf14fe238acda0a%2Fimage%20\(23\).png?alt=media) Cambie a la pestaña "Management Certificate Template", "External CA" y active el modo de edición. Habilite Jamf Pro como "SCEP Proxy for configuration profiles": ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-c9a89bf1790dfb161703eaf77a5afcb9b33bcd8b%2Fimage%20\(26\).png?alt=media) Complete los siguientes campos y guarde la configuración: | Campo | Descripción | Ejemplo/Valor | | ----------------------------- | -------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **URL** |

URL hacia SCEPman

NO OLVIDE el /jamf al final

| | | **Nombre** | nombre de la instancia | SCEPman Contoso | | **Asunto** | entidades siguiendo el estándar X.500 | O=Contoso | | **Tipo de desafío** | tipo de desafío para la verificación de la emisión del certificado | Estático | | **Desafío (de verificación)** | secreto compartido previamente (desafío) | definido en SCEPman mediante [AppConfig](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-requestpassword) parámetro | | Tamaño de clave | tamaño de clave en bits | 2048 | | Usar como firma digital | | Sí (si es necesario) | | Usar para cifrado de clave | | Sí (si es necesario) | | Huella digital | Huella digital del certificado CA de SCEPman (SHA-1) | visible a través del panel de SCEPman ("CA Thumbprint") | ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-706cea0b6e3d717ff4d599d924edd31a98ff407b%2F2021-10-21%2020_37_05-Edit%20PKI%20Certificates%20PKI%20Certificates_%20and%201%20more%20page%20-%20Work%20-%20Microsoft%E2%80%8B%20Edge.png?alt=media) ### Certificado de firma Al usar una CA externa, Jamf requiere que agregue el certificado de la CA para que Jamf pueda comparar si los certificados están firmados correctamente. Sin embargo, Jamf solo permite agregar un certificado de la CA si también agrega un certificado de firma con su clave privada correspondiente. Jamf usa este certificado de firma para firmar las solicitudes de certificado que se envían a SCEPman. Sin embargo, SCEPman no evalúa la firma en las solicitudes y acepta incluso solicitudes sin firmar (por ejemplo, de Intune), porque la validez de la solicitud proviene únicamente del uso de la contraseña correcta del desafío de solicitud configurada en Jamf. {% tabs %} {% tab title="OpenSSL" %} ```shellscript openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=Certificado firmante JAMF para SCEPman" openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password # Elimine los archivos temporales rm tempKey.key rm tempCert.pem ``` {% endtab %} {% tab title="PowerShell" %} ```powershell $cert = New-SelfSignedCertificate -Subject "CN=Certificado firmante JAMF para SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10) $pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password") [System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes) ``` {% endtab %} {% endtabs %} Luego haga clic en "Change Signing and CA Certificates" en la configuración de CA externa de Jamf ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-4c7abd11c59ea4578210eff6b229c0b610bd5f08%2Fjamfsigningcertificate.png?alt=media) En el asistente, cargue el archivo PFX con el certificado de firma en Jamf cuando se lo solicite (Nota: Pkcs#12 y PFX son sinónimos). En los siguientes pasos, introduzca la contraseña del archivo PFX y confirme la selección del certificado de firma. En la pestaña "Upload CA Certificate", debe cargar el certificado de CA de SCEPman. Puede obtener el certificado de CA de SCEPman haciendo clic en el enlace "Get CA Certificate" en la parte superior derecha de la página principal de su instancia de SCEPman. Finalmente, confirme los cambios.