# Configuration générale SCEPman peut être connecté à Jamf Pro en tant qu’AC externe via un point de terminaison Jamf dédié de SCEPman, permettant aux utilisateurs et appareils inscrits d’obtenir des certificats. Jamf Pro agit comme un proxy SCEP, assurant la communication entre SCEPman et les appareils Jamf Pro. ## Activer l’intégration Jamf L’intégration Jamf de SCEPman peut être facilement activée via les variables d’environnement suivantes sur **le service d’application SCEPman**: | Paramètre | Description | Exemple | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | --------------------------------------- | | [AppConfig:JamfValidation:Enabled](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-enabled) | Voulez-vous utiliser SCEPman avec Jamf ? | true | | [AppConfig:JamfValidation:RequestPassword](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-requestpassword) |

Jamf authentifie ses demandes de certificat auprès de SCEPman avec ce mot de passe sécurisé.

Pensez à l’ajouter comme secret dans votre KeyVault.

| maximum *mot de passe de 32 caractères* | | [AppConfig:JamfValidation:ValidityPeriodDays](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-validityperioddays) (facultatif) | Pendant combien de jours au maximum les certificats émis via Jamf doivent-ils être valides ? | 365 | | [AppConfig:JamfValidation:EnableCertificateStorage](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-enablecertificatestorage) (facultatif) | Activez ce paramètre pour enregistrer les certificats Jamf dans Certificate Master | vrai ou faux (par défaut) | ## Connexion API SCEPman doit être connecté à l’API Jamf pour vérifier l’état des clients intégrés. Cela est utilisé pour la révocation des certificats. [Reportez-vous à la documentation Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html) pour savoir comment créer un rôle API et un client API. Le client API doit disposer d’un rôle avec ces autorisations : * Lire les appareils mobiles * Lire les ordinateurs * Lire l’utilisateur Veuillez définir les variables d’environnement suivantes dans votre **service d’application SCEPman**: | Paramètre | Description | Exemple | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------- | | [AppConfig:JamfValidation:URL](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-url) | L’URL de votre instance Jamf | `https://contoso.jamfcloud.com` | | [AppConfig:JamfValidation:ClientID](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-clientid) | L’identifiant du client API Jamf | Voir [ClientId Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title3) | | [AppConfig:JamfValidation:ClientSecret](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-clientsecret) |

La valeur du secret client pour la configuration du client API.

Pensez à l’ajouter comme secret dans votre KeyVault.

| Voir [Secret client Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title4) | {% hint style="warning" %} L’API classique de Jamf Pro prend en charge l’authentification Bearer depuis la version 10.35.0. Il existe un paramètre permettant de désactiver l’ancienne méthode d’authentification, l’authentification de base, depuis la version 10.36.0. Une future version de Jamf prévue entre août et décembre 2022 supprimera la prise en charge de l’authentification de base. SCEPman 2.0 et versions antérieures ne prennent en charge que l’authentification de base pour l’API classique, tandis que SCEPman 2.1 et versions ultérieures utilisent l’authentification Bearer. Afin d’utiliser l’authentification Bearer, vous devez passer à SCEPman 2.1 ou supérieur. {% endhint %} ## Connexion à une AC externe Ouvrez les paramètres de Jamf Pro et choisissez « PKI Certificates » sous « Global Management » : ![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-ba2b5fe78590c9c592ef0d65cdf14fe238acda0a%2Fimage%20\(23\).png?alt=media) Passez à l’onglet « Management Certificate Template », « External CA » et activez le mode édition. Veuillez activer Jamf Pro en tant que « SCEP Proxy for configuration profiles » : ![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-c9a89bf1790dfb161703eaf77a5afcb9b33bcd8b%2Fimage%20\(26\).png?alt=media) Veuillez remplir les champs suivants et enregistrer la configuration : | Champ | Description | Exemple/Valeur | | ----------------------------------- | --------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **URL** |

URL vers SCEPman

NE PAS Oubliez /jamf à la fin

| | | **Nom** | nom de l’instance | SCEPman Contoso | | **Sujet** | entités suivant la norme X.500 | O=Contoso | | **Type de défi** | type de défi pour la vérification de l’émission du certificat | Statique | | **Défi (vérification)** | secret pré-partagé (défi) | défini dans SCEPman via [AppConfig](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/jamf-validation#appconfig-jamfvalidation-requestpassword) paramètre | | Taille de la clé | taille de la clé en bits | 2048 | | Utiliser comme signature numérique | | Oui (si nécessaire) | | Utiliser pour l’encipherment de clé | | Oui (si nécessaire) | | Empreinte | Empreinte du certificat CA de SCEPman (SHA-1) | visible via le tableau de bord SCEPman (« CA Thumbprint ») | ![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-706cea0b6e3d717ff4d599d924edd31a98ff407b%2F2021-10-21%2020_37_05-Edit%20PKI%20Certificates%20PKI%20Certificates_%20and%201%20more%20page%20-%20Work%20-%20Microsoft%E2%80%8B%20Edge.png?alt=media) ### Certificat de signature Lors de l’utilisation d’une AC externe, Jamf exige que vous ajoutiez le certificat de l’AC afin que Jamf puisse comparer si les certificats sont correctement signés. Toutefois, Jamf ne permet d’ajouter un certificat d’AC que si vous ajoutez également un certificat de signature avec une clé privée correspondante. Jamf utilise ce certificat de signature pour signer les demandes de certificat envoyées à SCEPman. Cependant, SCEPman n’évalue pas la signature des demandes et accepte même les demandes non signées (par ex. depuis Intune), car la validité de la demande découle uniquement de l’utilisation du bon mot de passe de défi configuré dans Jamf. {% tabs %} {% tab title="OpenSSL" %} ```shellscript openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman" openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password # Supprimer les fichiers temporaires rm tempKey.key rm tempCert.pem ``` {% endtab %} {% tab title="PowerShell" %} ```powershell $cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10) $pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password") [System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes) ``` {% endtab %} {% endtabs %} Puis cliquez sur « Change Signing and CA Certificates » dans la configuration External CA de Jamf ![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-4c7abd11c59ea4578210eff6b229c0b610bd5f08%2Fjamfsigningcertificate.png?alt=media) Dans l’assistant, téléversez le fichier PFX avec le certificat de signature dans Jamf lorsqu’il vous le demande (Remarque : Pkcs#12 et PFX sont des synonymes). Dans les étapes suivantes, saisissez le mot de passe du fichier PFX et confirmez la sélection du certificat de signature. Dans l’onglet « Upload CA Certificate », vous devez téléverser le certificat CA de SCEPman. Vous pouvez obtenir le certificat CA de SCEPman en cliquant sur le lien « Get CA Certificate » en haut à droite de la page d’accueil de votre instance SCEPman. Enfin, confirmez vos modifications.