circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Configuración general

SCEPman puede conectarse a Jamf Pro como una CA externa a través de un endpoint dedicado de Jamf de SCEPman que permite a usuarios y dispositivos inscritos obtener certificados. Jamf Pro actúa como un proxy SCEP, intermediando la comunicación entre SCEPman y los dispositivos de Jamf Pro.

hashtag
Habilitar integración con Jamf

La integración de SCEPman con Jamf puede activarse fácilmente mediante las siguientes variables de entorno en servicio de la aplicación SCEPman:

Ajuste
Descripción
Ejemplo

AppConfig:JamfValidation:Enabled

¿Desea usar SCEPman con Jamf?

true

AppConfig:JamfValidation:RequestPassword

Jamf autentica sus solicitudes de certificado en SCEPman con esta contraseña segura.

Considere añadir esto como un secreto en su SCEPman KeyVault.

máx Contraseña de 32 caracteres

AppConfig:JamfValidation:ValidityPeriodDays (opcional)

¿Cuántos días deben ser válidos como máximo los certificados emitidos a través de Jamf?

365

AppConfig:JamfValidation:EnableCertificateStorage (opcional)

Active esta configuración para guardar los certificados de Jamf en Certificate Master

true o false (predeterminado)

hashtag
Conexión API

SCEPman necesita conectarse a la API de Jamf para comprobar el estado de los clientes incorporados. Esto se usa para la revocación de certificados.

Consulte la documentación de Jamfarrow-up-right sobre cómo crear un rol de API y un cliente de API. El cliente de API debe tener un rol con estos permisos:

  • Leer dispositivos móviles

  • Leer equipos

  • Leer usuario

Defina las siguientes variables de entorno en su Servicio de Aplicaciones SCEPman:

Ajuste
Descripción
Ejemplo

AppConfig:JamfValidation:URL

La URL de su instancia Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

El identificador del cliente de la API de Jamf

Ver Jamf ClientIdarrow-up-right

AppConfig:JamfValidation:ClientSecret

El valor del secreto de cliente para la configuración del cliente de API.

Considere añadir esto como un secreto en su SCEPman KeyVault.

Ver Secreto de cliente de Jamfarrow-up-right

circle-exclamation

La API clásica de Jamf Pro admite autenticación Bearer desde la versión 10.35.0. Existe una opción para deshabilitar el método de autenticación anterior, Autenticación Básica, desde la versión 10.36.0. Una versión futura de Jamf programada para agosto-diciembre de 2022 eliminará el soporte para la Autenticación Básica. SCEPman 2.0 y versiones inferiores solo admiten Autenticación Básica para la API clásica, mientras que SCEPman 2.1 y superiores usan Autenticación Bearer. Para usar la Autenticación Bearer, debe actualizar a SCEPman 2.1 o superior.

hashtag
Conexión CA externa

Abra la configuración de Jamf Pro y elija "PKI Certificates" bajo "Global Management":

Cambie a la pestaña "Management Certificate Template", "External CA" y active el modo de edición. Por favor, habilite Jamf Pro como "SCEP Proxy for configuration profiles":

Complete los siguientes campos y guarde la configuración:

Campo
Descripción
Ejemplo/Valor

URL

URL de SCEPman

No OLVIDE Olvide el /jamf al final

https://scepman.contoso.com/jamfarrow-up-right

Nombre

nombre de la instancia

SCEPman Contoso

Sujeto

entidades según el estándar X.500

O=Contoso

Tipo de desafío

tipo de desafío para la verificación de emisión de certificados

Static

(Verificar) Desafío

secreto precompartido (desafío)

definido en SCEPman vía AppConfig parámetro

Tamaño de clave

tamaño de clave en bits

2048

Usar como firma digital

Sí (si es necesario)

Usar para cifrado de clave

Sí (si es necesario)

Huella digital

Huella (thumbprint) del certificado CA de SCEPman (SHA-1)

visible a través del panel de SCEPman ("CA Thumbprint")

hashtag
Certificado de firma

Al usar una CA externa, Jamf requiere que agregue el certificado de la CA para que Jamf pueda comparar si los certificados están correctamente firmados. Sin embargo, Jamf solo permite agregar un certificado de CA si también agrega un certificado de firma con la clave privada correspondiente. Jamf usa este certificado de firma para firmar las solicitudes de certificado que se envían a SCEPman. No obstante, SCEPman no evalúa la firma en las solicitudes y acepta incluso solicitudes sin firmar (por ejemplo, de Intune), porque la validez de la solicitud se basa únicamente en el uso de la contraseña de desafío correcta configurada en Jamf.

Por lo tanto, puede usar cualquier certificado que desee como certificado de firma, por ejemplo puede generar un certificado autofirmado con el siguiente comando de PowerShell:

Luego haga clic en "Change Signing and CA Certificates" en la configuración de CA externa de Jamf

En el asistente, cargue el archivo PFX con el certificado de firma en Jamf cuando lo solicite (Nota: Pkcs#12 y PFX son sinónimos). En los pasos siguientes, introduzca la contraseña del archivo PFX y confirme la selección del certificado de firma. En la pestaña "Upload CA Certificate", debe cargar el certificado CA de SCEPman. Puede obtener el certificado CA de SCEPman haciendo clic en el enlace "Get CA Certificate" en la esquina superior derecha de la página principal de su instancia SCEPman. Finalmente, confirme sus cambios.

Última actualización

¿Te fue útil?