circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

一般的な構成

SCEPman は専用の Jamf エンドポイントを介して外部 CA として Jamf Pro に接続でき、登録済みのユーザーやデバイスが証明書を取得できるようにします。Jamf Pro は SCEP Proxy として機能し、SCEPman と Jamf Pro デバイス間の通信をプロキシします。

hashtag
Jamf 統合を有効にする

SCEPman の Jamf 統合は、次の環境変数を介して簡単に有効にできます(対象: SCEPman アプリサービス:

設定
説明
の URL をコピーしてください

AppConfig:JamfValidation:Enabled

SCEPman を Jamf と一緒に使用しますか?

true

AppConfig:JamfValidation:RequestPassword

Jamf はこのセキュアなパスワードを使用して SCEPman に対する証明書要求を認証します。

これを SCEPman のシークレットとして追加することを検討してください KeyVault.

最大 32 文字のパスワード

AppConfig:JamfValidation:ValidityPeriodDays (任意)

Jamf 経由で発行される証明書の有効期限を最長何日としますか?

365

AppConfig:JamfValidation:EnableCertificateStorage (任意)

この設定を有効にすると、Jamf の証明書を Certificate Master に保存します

true または false(デフォルト)

hashtag
API 接続

SCEPman は登録済みクライアントのステータスを確認するために Jamf API に接続する必要があります。これは証明書の失効に使用されます。

Jamf のドキュメントを参照してくださいarrow-up-right API ロールと API クライアントの作成方法について。API クライアントは次の権限を持つロールを持つ必要があります:

  • モバイルデバイスの読み取り

  • コンピュータの読み取り

  • ユーザーの読み取り

次の環境変数をあなたの環境に定義してください SCEPman アプリ サービス:

設定
説明
の URL をコピーしてください

AppConfig:JamfValidation:URL

あなたの Jamf インスタンスの URL

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

Jamf API クライアントの識別子

参照: Jamf ClientIdarrow-up-right

AppConfig:JamfValidation:ClientSecret

API クライアント構成のクライアントシークレット値。

これを SCEPman のシークレットとして追加することを検討してください KeyVault.

参照: Jamf クライアントシークレットarrow-up-right

circle-exclamation

Jamf Pro の Classic API はバージョン 10.35.0 以降で Bearer 認証をサポートしています。バージョン 10.36.0 以降では以前の認証方式である Basic 認証を無効にする設定があります。2022 年 8–12 月に予定されている将来の Jamf バージョンでは Basic 認証のサポートが削除される予定です。SCEPman 2.0 以下は Classic API に対して Basic 認証のみをサポートし、SCEPman 2.1 以上は Bearer 認証を使用します。Bearer 認証を使用するには、SCEPman を 2.1 以上にアップグレードする必要があります。

hashtag
外部 CA 接続

Jamf Pro の設定を開き、「Global Management」内の「PKI Certificates」を選択してください:

「Management Certificate Template」「External CA」タブに切り替え、編集モードを有効にします。Jamf Pro を「設定プロファイルのための SCEP Proxy」として有効にしてください:

次の項目に入力して設定を保存してください:

フィールド
説明
例/値

URL

SCEPman への URL

絶対に しないでください 忘れる /jamf 最後の部分を

https://scepman.contoso.com/jamfarrow-up-right

名前

インスタンス名

SCEPman Contoso

サブジェクト

X.500 標準に従うエンティティ

O=Contoso

チャレンジタイプ

証明書発行の検証に使うチャレンジの種類

Static

(検証)チャレンジ

事前共有シークレット(チャレンジ)

SCEPman で次の方法で定義されます: AppConfig パラメータ

鍵サイズ

鍵サイズ(ビット)

2048

電子署名として使用

はい(必要な場合)

鍵暗号化に使用

はい(必要な場合)

フィンガープリント

SCEPman CA 証明書のサムプリント(SHA-1)

SCEPman ダッシュボード(「CA Thumbprint」)から確認可能

hashtag
署名用証明書

外部 CA を使用する場合、Jamf は証明書が正しく署名されているかを比較できるように CA 証明書の追加を要求します。ただし、Jamf は対応する秘密鍵を持つ署名用証明書も追加されている場合にのみ CA 証明書の追加を許可します。Jamf はこの署名用証明書を使用して SCEPman に送信される証明書要求に署名します。ただし、SCEPman は要求の署名を評価せず、未署名の要求(例:Intune からのもの)も受け入れます。なぜなら要求の有効性は Jamf に設定された正しいリクエストチャレンジパスワードの使用にのみ基づくためです。

したがって、署名用証明書として任意の証明書を使用できます。たとえば、次の PowerShell コマンドで自己署名証明書を生成できます:

その後、Jamf の External CA 設定で「Change Signing and CA Certificates」をクリックしてください

ウィザードで、署名用証明書を含む PFX ファイルを Jamf にアップロードするよう求められたらアップロードします(注:Pkcs#12 と PFX は同義です)。次のステップで PFX ファイルのパスワードを入力し、署名用証明書の選択を確認します。「Upload CA Certificate」タブでは SCEPman の CA 証明書をアップロードする必要があります。SCEPman CA 証明書は、あなたの SCEPman インスタンスのホームページ右上にある「Get CA Certificate」リンクをクリックして取得できます。最後に変更を確認してください。

最終更新

役に立ちましたか?