一般設定

SCEPman は、SCEPman 専用の Jamf エンドポイント経由で External CA として Jamf Pro に接続でき、登録済みのユーザーとデバイスが証明書を取得できるようになります。Jamf Pro は SCEP Proxy として機能し、SCEPman と Jamf Pro デバイス間の通信をプロキシします。

Jamf 統合を有効にする

SCEPman の Jamf 統合は、次の環境変数を使用して簡単に有効化できます。対象: SCEPman app service:

設定

説明

例

AppConfig:JamfValidation:Enabled

SCEPman を Jamf で使用しますか?

true

AppConfig:JamfValidation:RequestPassword

Jamf は、この安全なパスワードで SCEPman に対する証明書要求を認証します。

これを SCEPman のシークレットとして追加することを検討してください KeyVault.

最大 32 文字のパスワード

AppConfig:JamfValidation:ValidityPeriodDays (任意)

Jamf 経由で発行された証明書は最大で何日間有効にしますか?

365

AppConfig:JamfValidation:EnableCertificateStorage (任意)

この設定を有効にすると、Jamf 証明書が Certificate Master に保存されます

true または false (既定)

API 接続

オンボード済みクライアントの状態を確認するために、SCEPman を Jamf API に接続する必要があります。これは証明書の失効に使用されます。

Jamf のドキュメントを参照してください API ロールと API クライアントの作成方法について。API クライアントには、次の権限を持つロールが必要です:

モバイルデバイスの読み取り
コンピューターの読み取り
ユーザーの読み取り

次の環境変数をお使いの SCEPman App Service:

設定

説明

例

AppConfig:JamfValidation:URL

お使いの Jamf インスタンスの URL

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Jamf API クライアントの識別子

参照 Jamf ClientId

AppConfig:JamfValidation:ClientSecret

API クライアント構成の Client Secret 値。

これを SCEPman のシークレットとして追加することを検討してください KeyVault.

参照 Jamf Client Secret

Jamf Pro の Classic API は、バージョン 10.35.0 以降で Bearer 認証をサポートしています。バージョン 10.36.0 以降では、従来の認証方式である Basic Authentication を無効にする設定があります。2022 年 8 月〜12 月に予定されている将来の Jamf バージョンでは、Basic Authentication のサポートが削除されます。SCEPman 2.0 以前は Classic API に対して Basic Authentication のみをサポートし、SCEPman 2.1 以降は Bearer Authentication を使用します。Bearer Authentication を使用するには、SCEPman 2.1 以上にアップグレードする必要があります。

External CA 接続

Jamf Pro の設定を開き、「Global Management」の下にある「PKI Certificates」を選択します:

「Management Certificate Template」「External CA」タブに切り替えて編集モードを有効にしてください。Jamf Pro を「SCEP Proxy for configuration profiles」として有効化してください:

次のフィールドを入力して、構成を保存してください:

フィールド

説明

例/値

URL

SCEPman への URL

絶対に しないでください 忘れずに /jamf 末尾の

https://scepman.contoso.com/jamf

名前

インスタンス名

SCEPman Contoso

サブジェクト

X.500 標準に従うエンティティ

O=Contoso

Challenge Type

証明書発行の検証のためのチャレンジタイプ

Static

(Verify) Challenge

事前共有シークレット (チャレンジ)

SCEPman で次を使用して定義された AppConfig パラメーター

Key Size

ビット単位のキーサイズ

2048

デジタル署名として使用

はい (必要な場合)

鍵暗号化に使用

はい (必要な場合)

Fingerprint

SCEPman CA 証明書のサムプリント (SHA-1)

SCEPman ダッシュボード ("CA Thumbprint") で表示可能

Signing Certificate

外部 CA を使用する場合、Jamf では CA 証明書を追加して、証明書が正しく署名されているか比較できるようにする必要があります。ただし、Jamf では、対応する秘密鍵を持つ署名証明書も追加した場合にのみ CA 証明書を追加できます。Jamf はこの署名証明書を使用して、SCEPman に送信される証明書要求に署名します。ただし、SCEPman は要求の署名を評価せず、要求の有効性は Jamf で設定された正しい要求チャレンジパスワードの使用のみに依存するため、署名されていない要求 (例: Intune からの要求) であっても受け入れます。

openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# 一時ファイルを削除
rm tempKey.key
rm tempCert.pem

$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)

その後、Jamf の External CA 構成で「Change Signing and CA Certificates」をクリックします

ウィザードで求められたら、署名証明書を含む PFX ファイルを Jamf にアップロードします (注: Pkcs#12 と PFX は同義です)。次の手順で、PFX ファイルのパスワードを入力し、署名証明書の選択を確認します。「Upload CA Certificate」タブで、SCEPman CA 証明書をアップロードする必要があります。SCEPman CA 証明書は、SCEPman インスタンスのホームページ右上にある「Get CA Certificate」リンクをクリックすると取得できます。最後に、変更を確定します。

最終更新 2 か月前

役に立ちましたか？