Configuration générale

SCEPman peut être connecté à Jamf Pro en tant qu’AC externe via un point de terminaison Jamf dédié de SCEPman, permettant aux utilisateurs et appareils inscrits d’obtenir des certificats. Jamf Pro agit comme un proxy SCEP, assurant la communication entre SCEPman et les appareils Jamf Pro.

Activer l’intégration Jamf

L’intégration Jamf de SCEPman peut être facilement activée via les variables d’environnement suivantes sur le service d’application SCEPman:

Paramètre

Description

Exemple

AppConfig:JamfValidation:Enabled

Voulez-vous utiliser SCEPman avec Jamf ?

true

AppConfig:JamfValidation:RequestPassword

Jamf authentifie ses demandes de certificat auprès de SCEPman avec ce mot de passe sécurisé.

Pensez à l’ajouter comme secret dans votre KeyVault.

maximum mot de passe de 32 caractères

AppConfig:JamfValidation:ValidityPeriodDays (facultatif)

Pendant combien de jours au maximum les certificats émis via Jamf doivent-ils être valides ?

365

AppConfig:JamfValidation:EnableCertificateStorage (facultatif)

Activez ce paramètre pour enregistrer les certificats Jamf dans Certificate Master

vrai ou faux (par défaut)

Connexion API

SCEPman doit être connecté à l’API Jamf pour vérifier l’état des clients intégrés. Cela est utilisé pour la révocation des certificats.

Reportez-vous à la documentation Jamf pour savoir comment créer un rôle API et un client API. Le client API doit disposer d’un rôle avec ces autorisations :

Lire les appareils mobiles
Lire les ordinateurs
Lire l’utilisateur

Veuillez définir les variables d’environnement suivantes dans votre service d’application SCEPman:

Paramètre

Description

Exemple

AppConfig:JamfValidation:URL

L’URL de votre instance Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

L’identifiant du client API Jamf

Voir ClientId Jamf

AppConfig:JamfValidation:ClientSecret

La valeur du secret client pour la configuration du client API.

Pensez à l’ajouter comme secret dans votre KeyVault.

Voir Secret client Jamf

L’API classique de Jamf Pro prend en charge l’authentification Bearer depuis la version 10.35.0. Il existe un paramètre permettant de désactiver l’ancienne méthode d’authentification, l’authentification de base, depuis la version 10.36.0. Une future version de Jamf prévue entre août et décembre 2022 supprimera la prise en charge de l’authentification de base. SCEPman 2.0 et versions antérieures ne prennent en charge que l’authentification de base pour l’API classique, tandis que SCEPman 2.1 et versions ultérieures utilisent l’authentification Bearer. Afin d’utiliser l’authentification Bearer, vous devez passer à SCEPman 2.1 ou supérieur.

Connexion à une AC externe

Ouvrez les paramètres de Jamf Pro et choisissez « PKI Certificates » sous « Global Management » :

Passez à l’onglet « Management Certificate Template », « External CA » et activez le mode édition. Veuillez activer Jamf Pro en tant que « SCEP Proxy for configuration profiles » :

Veuillez remplir les champs suivants et enregistrer la configuration :

Champ

Description

Exemple/Valeur

URL

URL vers SCEPman

NE PAS Oubliez /jamf à la fin

https://scepman.contoso.com/jamf

Nom

nom de l’instance

SCEPman Contoso

Sujet

entités suivant la norme X.500

O=Contoso

Type de défi

type de défi pour la vérification de l’émission du certificat

Statique

Défi (vérification)

secret pré-partagé (défi)

défini dans SCEPman via AppConfig paramètre

Taille de la clé

taille de la clé en bits

2048

Utiliser comme signature numérique

Oui (si nécessaire)

Utiliser pour l’encipherment de clé

Oui (si nécessaire)

Empreinte

Empreinte du certificat CA de SCEPman (SHA-1)

visible via le tableau de bord SCEPman (« CA Thumbprint »)

Certificat de signature

Lors de l’utilisation d’une AC externe, Jamf exige que vous ajoutiez le certificat de l’AC afin que Jamf puisse comparer si les certificats sont correctement signés. Toutefois, Jamf ne permet d’ajouter un certificat d’AC que si vous ajoutez également un certificat de signature avec une clé privée correspondante. Jamf utilise ce certificat de signature pour signer les demandes de certificat envoyées à SCEPman. Cependant, SCEPman n’évalue pas la signature des demandes et accepte même les demandes non signées (par ex. depuis Intune), car la validité de la demande découle uniquement de l’utilisation du bon mot de passe de défi configuré dans Jamf.

openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# Supprimer les fichiers temporaires
rm tempKey.key
rm tempCert.pem

$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)

Puis cliquez sur « Change Signing and CA Certificates » dans la configuration External CA de Jamf

Dans l’assistant, téléversez le fichier PFX avec le certificat de signature dans Jamf lorsqu’il vous le demande (Remarque : Pkcs#12 et PFX sont des synonymes). Dans les étapes suivantes, saisissez le mot de passe du fichier PFX et confirmez la sélection du certificat de signature. Dans l’onglet « Upload CA Certificate », vous devez téléverser le certificat CA de SCEPman. Vous pouvez obtenir le certificat CA de SCEPman en cliquant sur le lien « Get CA Certificate » en haut à droite de la page d’accueil de votre instance SCEPman. Enfin, confirmez vos modifications.

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?