Configuración general

SCEPman puede conectarse a Jamf Pro como una CA externa a través de un endpoint dedicado de Jamf de SCEPman, lo que permite a usuarios y dispositivos inscritos obtener certificados. Jamf Pro actúa como un proxy SCEP, enrutando la comunicación entre SCEPman y los dispositivos de Jamf Pro.

Habilitar integración con Jamf

La integración de SCEPman con Jamf puede habilitarse fácilmente mediante las siguientes variables de entorno en servicio de la aplicación SCEPman:

Configuración

Descripción

Ejemplo

AppConfig:JamfValidation:Enabled

¿Desea usar SCEPman con Jamf?

true

AppConfig:JamfValidation:RequestPassword

Jamf autentica sus solicitudes de certificados en SCEPman con esta contraseña segura.

Considere agregar esto como un secreto en su KeyVault.

máx. Contraseña de 32 caracteres

AppConfig:JamfValidation:ValidityPeriodDays (opcional)

¿Cuántos días deben ser válidos como máximo los certificados emitidos a través de Jamf?

365

AppConfig:JamfValidation:EnableCertificateStorage (opcional)

Habilite esta configuración para guardar los certificados de Jamf en Certificate Master

true o false (predeterminado)

Conexión API

SCEPman necesita conectarse a la API de Jamf para comprobar el estado de los clientes inscritos. Esto se utiliza para la revocación de certificados.

Consulte la documentación de Jamf sobre cómo crear un rol de API y un cliente de API. El cliente de API debe tener un rol con estos permisos:

Leer dispositivos móviles
Leer equipos
Leer usuario

Defina las siguientes variables de entorno en su App Service de SCEPman:

Configuración

Descripción

Ejemplo

AppConfig:JamfValidation:URL

La URL de su instancia de Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

El identificador del cliente de la API de Jamf

Ver ClientId de Jamf

AppConfig:JamfValidation:ClientSecret

El valor del secreto de cliente para la configuración del cliente de API.

Considere agregar esto como un secreto en su KeyVault.

Ver Secreto de cliente de Jamf

La API clásica de Jamf Pro admite autenticación Bearer desde la versión 10.35.0. Hay una configuración para deshabilitar el método de autenticación anterior, autenticación básica, desde la versión 10.36.0. Una versión futura de Jamf programada para agosto-diciembre de 2022 eliminará el soporte para la autenticación básica. SCEPman 2.0 y versiones inferiores solo admiten autenticación básica para la API clásica, mientras que SCEPman 2.1 y superiores usan autenticación Bearer. Para usar la autenticación Bearer, debe actualizar a SCEPman 2.1 o superior.

Conexión de CA externa

Abra la configuración de Jamf Pro y elija "PKI Certificates" en "Global Management":

Cambie a la pestaña "Management Certificate Template", "External CA" y active el modo de edición. Por favor habilite Jamf Pro como "SCEP Proxy for configuration profiles":

Por favor complete los siguientes campos y guarde la configuración:

Campo

Descripción

Ejemplo/Valor

URL

URL a SCEPman

NO NO Olvide /jamf al final

https://scepman.contoso.com/jamf

Nombre

nombre de la instancia

SCEPman Contoso

Sujeto

entidades según el estándar X.500

O=Contoso

Tipo de desafío

tipo de desafío para la verificación de la emisión de certificados

Estático

(Verificar) desafío

secreto precompartido (desafío)

definido en SCEPman mediante AppConfig parámetro

Tamaño de clave

tamaño de clave en bits

2048

Usar como firma digital

Sí (si es necesario)

Usar para cifrado de clave

Sí (si es necesario)

Huella digital

Impronta digital del certificado CA de SCEPman (SHA-1)

visible a través del panel de SCEPman ("CA Thumbprint")

Certificado de firma

Al usar una CA externa, Jamf requiere que agregue el certificado de la CA para que Jamf pueda comparar si los certificados están correctamente firmados. Sin embargo, Jamf solo permite agregar un certificado de CA si también agrega un certificado de firma con la clave privada correspondiente. Jamf utiliza este certificado de firma para firmar las solicitudes de certificado que se envían a SCEPman. No obstante, SCEPman no evalúa la firma de las solicitudes y acepta incluso solicitudes sin firmar (p. ej., de Intune), porque la validez de la solicitud se basa únicamente en el uso de la contraseña de desafío de solicitud correcta configurada en Jamf.

openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# Eliminar archivos temporales
rm tempKey.key
rm tempCert.pem

$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)

Luego haga clic en "Change Signing and CA Certificates" en la configuración de CA externa de Jamf

En el asistente, cargue el archivo PFX con el certificado de firma en Jamf cuando se lo solicite (Nota: Pkcs#12 y PFX son sinónimos). En los pasos siguientes, introduzca la contraseña del archivo PFX y confirme la selección del certificado de firma. En la pestaña "Upload CA Certificate", debe cargar el certificado CA de SCEPman. Puede obtener el certificado CA de SCEPman haciendo clic en el enlace "Get CA Certificate" en la parte superior derecha de la página de inicio de su instancia de SCEPman. Finalmente, confirme sus cambios.

Última actualización hace 14 días

¿Te fue útil?

Buenas noches

hashtagHabilitar integración con Jamf

hashtagConexión API

hashtagConexión de CA externa

hashtagCertificado de firma

Habilitar integración con Jamf

Conexión API

Conexión de CA externa

Certificado de firma