Kandji

Émettre des certificats dans Kandji en connectant SCEPman en tant qu’AC externe. Les appareils pourront obtenir des certificats en utilisant l’interface statique de SCEPman et un mot de passe de défi inscrit.

SCEPman peut être connecté à Kandji en tant que CA externe via l’interface statique de SCEPman, et les appareils inscrits avec un mot de passe de défi pourront obtenir des certificats.

Pour plus d’informations générales sur d’autres solutions MDM et l’intégration de SCEPman, veuillez consulter ici.

Activer l’intégration Kandji

L’intégration de SCEPman peut être facilement activée via les variables d’environnement suivantes sur le service d’application SCEPman :

Vous pouvez faire la différence entre le service d’application SCEPman et le Certificate Master en recherchant le service d’application sans le « -cm » dans son nom

Paramètre

Description

Valeur

AppConfig:StaticValidation:Enabled

Activer la validation tierce

true pour activer, false pour désactiver

AppConfig:StaticValidation:RequestPassword

Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées à l’aide de ce mot de passe statique sécurisé Recommandation: Stockez ce secret dans Azure KeyVault.

générez un mot de passe de 32 caractères

AppConfig:StaticValidation:ValidityPeriodDays (facultatif)

Nombre de jours de validité des certificats émis via Kandji

365

AppConfig:StaticValidation:EnableCertificateStorage (facultatif)

Stocker les certificats demandés dans le Storage Account, afin de les afficher dans SCEPman Certificate Master

true pour activer, false pour désactiver

Après avoir ajouté ou modifié des paramètres de configuration SCEPman, vous devez redémarrer le service d’application.

Configuration Kandji

certificat racine SCEPman

Dans un premier temps, vous devez déployer le certificat racine de SCEPman. Téléchargez ce certificat CA via le site web SCEPman :

Dans Kandji, accédez à Library dans la barre de navigation de gauche et ajoutez un Certificate Library Item à votre Blueprint.

Pour téléverser le certificat, sélectionnez d’abord certificat au format PKCS #1 sous Type de certificat, puis fournissez éventuellement un nom, téléversez votre certificat CA SCEPman et enregistrez-le finalement.

Profil SCEP

La deuxième étape consiste à ajouter un Profil SCEP à votre Blueprint. Ajoutez donc un nouveau SCEP Library Item et configurez-le comme ci-dessous :

URL: Le point de terminaison SCEP statique de SCEPman que vous avez configuré ci-dessus
Nom : Un attribut SAN facultatif
Défi: est requis pour authentifier les demandes CSR envoyées à l’interface SCEP statique de SCEPman. Il doit correspondre au valeur que vous avez configuré ci-dessus.
Empreinte digitale : Empreinte numérique CA facultative. Il est fortement recommandé de configurer cette valeur, car elle fournit un niveau de sécurité supplémentaire. Vous pouvez la trouver sur votre site web SCEPman sous Empreinte CA.
Sujet : Nom du sujet facultatif. CN=$PROFILE_UUID sera ajouté automatiquement depuis Kandji comme nom commun par défaut. Kandji vous permet d’ajouter plusieurs CN.

Nous avons constaté des cas où macOS et iOS ont eu des problèmes pour sélectionner automatiquement les certificats client à des fins d’authentification réseau lorsque plus de deux CN étaient ajoutés.

Taille de clé : 2048
Utilisation de la clé : Signature et chiffrement

Pour plus d’informations, veuillez consulter la documentation de Kandji.

État du déploiement

Après avoir enregistré le certificat ou le profil SCEP, basculez vers Statut pour vérifier l’état du déploiement sur les appareils Blueprints attribués.

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?

Bon après-midi

hashtagActiver l’intégration Kandji

hashtagConfiguration Kandji

hashtagcertificat racine SCEPman

hashtagProfil SCEP

hashtagÉtat du déploiement

Activer l’intégration Kandji

Configuration Kandji

certificat racine SCEPman

Profil SCEP

État du déploiement