Kandji

Délivrer des certificats dans Kandji en connectant SCEPman en tant que CA externe. Les appareils pourront obtenir des certificats en utilisant l'interface statique de SCEPman et un mot de passe de challenge enregistré.

SCEPman peut être connecté à Kandji en tant qu'AC externe via l'interface statique de SCEPman, et un mot de passe de challenge des appareils inscrits pourra obtenir des certificats.

Pour des informations plus générales sur d'autres solutions MDM et l'intégration de SCEPman, veuillez consulter ici.

Activer l'intégration Kandji

L'intégration de SCEPman peut être facilement activée via les variables d'environnement suivantes sur le service d'application SCEPman :

Vous pouvez différencier le service d'application SCEPman et le Certificate Master en recherchant le Service d'Application sans le "-cm" dans son nom

Paramètre

Description

Value

AppConfig:StaticValidation:Enabled

Activer la validation tierce

true pour activer, false pour désactiver

AppConfig:StaticValidation:RequestPassword

Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées avec ce mot de passe statique sécurisé Recommandation: Stockez ce secret dans Azure KeyVault.

générez un mot de passe de 32 caractères

AppConfig:StaticValidation:ValidityPeriodDays (optionnel)

Jours de validité des certificats émis via Kandji

365

AppConfig:StaticValidation:EnableCertificateStorage (optionnel)

Stocker les certificats demandés dans le compte de stockage, afin de les afficher dans SCEPman Certificate Master

true pour activer, false pour désactiver

Après avoir ajouté ou modifié les paramètres de configuration de SCEPman, vous devez redémarrer le service d'application.

Configuration Kandji

Certificat racine SCEPman

Dans un premier temps, vous devez déployer le certificat racine de SCEPman. Téléchargez ce certificat AC via le site Web de SCEPman :

Dans Kandji, accédez à Bibliothèque dans la barre de navigation de gauche et ajoutez un élément de bibliothèque de certificat à votre Blueprint.

Pour téléverser le certificat, sélectionnez d'abord certificat au format PKCS #1 sous Type de certificat, puis fournissez éventuellement un nom facultatif, téléversez votre certificat AC SCEPman, et enfin enregistrez-le.

Profil SCEP

La deuxième étape consiste à ajouter un Profil SCEP à votre Blueprint. Par conséquent, ajoutez un nouveau élément de bibliothèque SCEP et configurez-le comme ci-dessous :

URL: Le point de terminaison SCEP statique de SCEPman que vous avez configuré ci-dessus
Nom : Un attribut SAN optionnel
Défi: Est requis pour authentifier les demandes de CSR envoyées à l'interface SCEP statique de SCEPman. Il doit correspondre au valeur que vous avez configuré ci-dessus.
Empreinte : Empreinte CA facultative. Il est fortement recommandé de configurer cette valeur car elle apporte un niveau de sécurité supplémentaire. Vous pouvez la trouver sur votre site SCEPman en tant que Empreinte de l'AC.
Sujet : Nom du sujet optionnel. CN=$PROFILE_UUID sera automatiquement ajouté par Kandji comme nom commun par défaut. Kandji vous permet d'ajouter plusieurs CN.

Nous avons observé des cas où macOS et iOS rencontraient des problèmes pour sélectionner automatiquement les certificats client à des fins d'authentification réseau lorsqu'il y avait plus de deux CN ajoutés.

Taille de la clé : 2048
Utilisation de la clé : Les deux, signature et chiffrement

Pour plus d'informations, veuillez consulter la documentation de Kandji.

Statut de déploiement

Après avoir enregistré le certificat ou le profil SCEP, passez à Statut pour vérifier l'état du déploiement sur BluePrints appareils affectés.

Mis à jour il y a 7 mois

Ce contenu vous a-t-il été utile ?

Bonne nuit

hashtagActiver l'intégration Kandji

hashtagConfiguration Kandji

hashtagCertificat racine SCEPman

hashtagProfil SCEP

hashtagStatut de déploiement

Activer l'intégration Kandji

Configuration Kandji

Certificat racine SCEPman

Profil SCEP

Statut de déploiement