circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Configuration générale

SCEPman peut être connecté à Jamf Pro en tant que CA externe via un point de terminaison Jamf dédié de SCEPman permettant aux utilisateurs et appareils inscrits d'obtenir des certificats. Jamf Pro agit comme un proxy SCEP, relayant la communication entre SCEPman et les appareils Jamf Pro.

hashtag
Activer l'intégration Jamf

L'intégration de SCEPman à Jamf peut être facilement activée via les variables d'environnement suivantes sur le service d'application SCEPman:

Paramètre
Description
Exemple

AppConfig:JamfValidation:Enabled

Voulez-vous utiliser SCEPman avec Jamf ?

true

AppConfig:JamfValidation:RequestPassword

Jamf authentifie ses requêtes de certificat auprès de SCEPman avec ce mot de passe sécurisé.

Envisagez d'ajouter ceci comme secret dans votre SCEPman KeyVault.

max mot de passe de 32 caractères

AppConfig:JamfValidation:ValidityPeriodDays (optionnel)

Combien de jours les certificats émis via Jamf doivent-ils être valables au maximum ?

365

AppConfig:JamfValidation:EnableCertificateStorage (optionnel)

Activez ce paramètre pour enregistrer les certificats Jamf dans Certificate Master

true ou false (par défaut)

hashtag
Connexion API

SCEPman doit être connecté à l'API Jamf pour vérifier l'état des clients intégrés. Cela est utilisé pour la révocation des certificats.

Référez-vous à la documentation Jamfarrow-up-right sur la manière de créer un rôle API et un client API. Le client API doit avoir un rôle avec ces permissions :

  • Lire les appareils mobiles

  • Lire les ordinateurs

  • Lire l'utilisateur

Veuillez définir les variables d'environnement suivantes dans votre Application SCEPman:

Paramètre
Description
Exemple

AppConfig:JamfValidation:URL

L'URL de votre instance Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

L'identifiant du client API Jamf

Voir ClientId Jamfarrow-up-right

AppConfig:JamfValidation:ClientSecret

La valeur du secret client pour la configuration du client API.

Envisagez d'ajouter ceci comme secret dans votre SCEPman KeyVault.

Voir Secret client Jamfarrow-up-right

circle-exclamation

L'API Classic de Jamf Pro prend en charge l'authentification Bearer depuis la version 10.35.0. Il existe un paramètre pour désactiver la méthode d'authentification précédente, Basic Authentication, depuis la version 10.36.0. Une future version de Jamf prévue entre août et décembre 2022 supprimera la prise en charge de Basic Authentication. SCEPman 2.0 et versions inférieures ne prennent en charge que Basic Authentication pour l'API Classic, tandis que SCEPman 2.1 et versions supérieures utilisent Bearer Authentication. Pour utiliser Bearer Authentication, vous devez mettre à niveau vers SCEPman 2.1 ou une version supérieure.

hashtag
Connexion CA externe

Ouvrez les paramètres de Jamf Pro et choisissez "PKI Certificates" sous "Global Management" :

Basculez vers l'onglet "Management Certificate Template", "External CA" et activez le mode édition. Veuillez activer Jamf Pro en tant que "SCEP Proxy for configuration profiles" :

Veuillez remplir les champs suivants et enregistrer la configuration :

Champ
Description
Exemple/Valeur

URL

URL vers SCEPman

Ne PAS Oubliez le /jamf à la fin

https://scepman.contoso.com/jamfarrow-up-right

Nom

nom de l'instance

SCEPman Contoso

Sujet

entités suivant la norme X.500

O=Contoso

Type de challenge

type de challenge pour la vérification de l'émission du certificat

Static

(Vérifier) Challenge

secret pré-partagé (challenge)

défini dans SCEPman via AppConfig paramètre

Taille de clé

taille de la clé en bits

2048

Utiliser comme signature numérique

Oui (si nécessaire)

Utiliser pour le chiffrement de clé

Oui (si nécessaire)

Empreinte

Empreinte du certificat CA de SCEPman (SHA-1)

visible via le tableau de bord SCEPman ("CA Thumbprint")

hashtag
Certificat de signature

Lors de l'utilisation d'une CA externe, Jamf exige que vous ajoutiez le certificat CA afin que Jamf puisse comparer si les certificats sont correctement signés. Cependant, Jamf n'autorise l'ajout d'un certificat CA que si vous ajoutez également un certificat de signature avec une clé privée correspondante. Jamf utilise ce certificat de signature pour signer les demandes de certificat envoyées à SCEPman. Toutefois, SCEPman n'évalue pas la signature des requêtes et accepte même les requêtes non signées (par exemple depuis Intune), car la validité de la requête découle uniquement de l'utilisation du bon mot de passe de challenge configuré dans Jamf.

Par conséquent, vous pouvez utiliser n'importe quel certificat comme certificat de signature, par exemple vous pouvez générer un certificat auto-signé avec la commande PowerShell suivante :

Cliquez ensuite sur "Change Signing and CA Certificates" dans la configuration CA externe de Jamf

Dans l'assistant, téléversez le fichier PFX contenant le certificat de signature sur Jamf lorsqu'il le demande (Remarque : Pkcs#12 et PFX sont des synonymes). Dans les étapes suivantes, saisissez le mot de passe du fichier PFX et confirmez la sélection du certificat de signature. Dans l'onglet "Upload CA Certificate", vous devez téléverser le certificat CA de SCEPman. Vous pouvez obtenir le certificat CA de SCEPman en cliquant sur le lien "Get CA Certificate" en haut à droite de la page d'accueil de votre instance SCEPman. Enfin, confirmez vos modifications.

Mis à jour

Ce contenu vous a-t-il été utile ?