一般設定

SCEPman は専用の Jamf エンドポイントを介して外部 CA として Jamf Pro に接続でき、登録済みのユーザーやデバイスが証明書を取得できるようにします。Jamf Pro は SCEP Proxy として機能し、SCEPman と Jamf Pro デバイス間の通信を仲介します。

Jamf 統合を有効にする

SCEPman の Jamf 統合は、次の環境変数を SCEPman アプリサービス:

設定

説明

例

AppConfig:JamfValidation:Enabled

SCEPman を Jamf と一緒に使用しますか？

true

AppConfig:JamfValidation:RequestPassword

Jamf はこの安全なパスワードで SCEPman に対する証明書要求を認証します。

これを SCEPman のシークレットとして追加することを検討してください KeyVault.

最大 32 文字のパスワード

AppConfig:JamfValidation:ValidityPeriodDays (オプション)

Jamf 経由で発行される証明書を最大で何日間有効にしますか？

365

AppConfig:JamfValidation:EnableCertificateStorage (オプション)

この設定を有効にすると、Jamf の証明書を Certificate Master に保存します

true または false（デフォルト）

API 接続

SCEPman はオンボードされたクライアントのステータスを確認するために Jamf API に接続する必要があります。これは証明書の失効に使用されます。

Jamf のドキュメントを参照してください API ロールと API クライアントの作成方法について。API クライアントには次の権限を持つロールが必要です：

モバイルデバイスの読み取り
コンピュータの読み取り
ユーザーの読み取り

次の環境変数をあなたの SCEPman アプリサービスに定義してください:

設定

説明

例

AppConfig:JamfValidation:URL

あなたの Jamf インスタンスの URL

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Jamf API クライアントの識別子

参照 Jamf ClientId

AppConfig:JamfValidation:ClientSecret

API クライアント構成のクライアントシークレット値。

これを SCEPman のシークレットとして追加することを検討してください KeyVault.

参照 Jamf クライアントシークレット

Jamf Pro の Classic API はバージョン 10.35.0 以降で Bearer 認証をサポートしています。バージョン 10.36.0 以降では以前の認証方法である Basic 認証を無効にする設定があります。2022 年 8 月〜12 月に予定されている将来の Jamf バージョンでは Basic 認証のサポートが削除されます。SCEPman 2.0 以前は Classic API に対して Basic 認証のみをサポートし、SCEPman 2.1 以降は Bearer 認証を使用します。Bearer 認証を使用するには、SCEPman を 2.1 以上にアップグレードする必要があります。

外部 CA 接続

Jamf Pro の設定を開き、「Global Management」の下にある「PKI Certificates」を選択してください：

「Management Certificate Template」「External CA」タブに切り替え、編集モードを有効にします。Jamf Pro を「構成プロファイル用の SCEP Proxy」として有効にしてください：

次のフィールドを入力して構成を保存してください：

フィールド

説明

例/値

URL

SCEPman の URL

忘れないで /jamf を末尾に付ける

https://scepman.contoso.com/jamf

名前

インスタンスの名前

SCEPman Contoso

サブジェクト

X.500 標準に従うエンティティ

O=Contoso

チャレンジタイプ

証明書発行の検証用のチャレンジタイプ

静的

（検証用）チャレンジ

事前共有されたシークレット（チャレンジ）

SCEPman 内で次のように定義されます AppConfig パラメーター

鍵サイズ

ビット単位の鍵サイズ

2048

電子署名として使用する

はい（必要に応じて）

鍵暗号化に使用する

はい（必要に応じて）

フィンガープリント

SCEPman CA 証明書のサムプリント（SHA-1）

SCEPman ダッシュボード（「CA Thumbprint」）で表示可能

署名証明書

外部 CA を使用する場合、Jamf は証明書が正しく署名されているかを比較できるように CA 証明書を追加することを要求します。ただし、Jamf は対応する秘密鍵を持つ署名証明書も追加した場合にのみ CA 証明書の追加を許可します。Jamf はこの署名証明書を使用して SCEPman に送られる証明書要求に署名します。しかし、SCEPman は要求の署名を評価せず、要求チャレンジパスワードが Jamf に設定された正しいものであることにより要求の有効性が決まるため、未署名の要求（例えば Intune からのもの）でも受け入れます。

openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# 一時ファイルを削除
rm tempKey.key
rm tempCert.pem

$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\\temp\\jamf.pfx", $pfxBytes)

その後、Jamf の External CA 設定で「Change Signing and CA Certificates」をクリックしてください

ウィザードで、署名証明書を含む PFX ファイルを Jamf にアップロードするよう求められたらアップロードしてください（注：Pkcs#12 と PFX は同義です）。次の手順で PFX ファイルのパスワードを入力し、署名証明書の選択を確認します。「Upload CA Certificate」タブでは SCEPman の CA 証明書をアップロードする必要があります。SCEPman CA 証明書は、SCEPman インスタンスのホームページ右上にある「Get CA Certificate」リンクをクリックして取得できます。最後に変更を確認してください。

最終更新 14 日前

役に立ちましたか？

おやすみ

hashtagJamf 統合を有効にする

hashtagAPI 接続

hashtag外部 CA 接続

hashtag署名証明書

Jamf 統合を有効にする

API 接続

外部 CA 接続

署名証明書