Configuração Geral

O SCEPman pode ser conectado ao Jamf Pro como uma CA Externa através de um endpoint Jamf dedicado do SCEPman, permitindo que usuários e dispositivos registrados obtenham certificados. O Jamf Pro atua como um SCEP Proxy, encaminhando a comunicação entre o SCEPman e os dispositivos Jamf Pro.

Ativar Integração com Jamf

A integração do SCEPman com o Jamf pode ser facilmente ativada através das seguintes variáveis de ambiente em serviço de aplicativo SCEPman:

Configuração

Descrição

Exemplo

AppConfig:JamfValidation:Enabled

Você quer usar o SCEPman com o Jamf?

true

AppConfig:JamfValidation:RequestPassword

O Jamf autentica seus pedidos de certificado no SCEPman com esta senha segura.

Considere adicionar isto como um segredo no seu KeyVault.

máx senha de 32 caracteres

AppConfig:JamfValidation:ValidityPeriodDays (opcional)

Por quantos dias os certificados emitidos via Jamf devem ser válidos, no máximo?

365

AppConfig:JamfValidation:EnableCertificateStorage (opcional)

Ative esta configuração para salvar certificados do Jamf no Certificate Master

true ou false (padrão)

Conexão com a API

O SCEPman precisa estar conectado à API do Jamf para verificar o status dos clientes cadastrados. Isso é usado para a revogação de certificados.

Consulte a documentação do Jamf sobre como criar uma função de API e um cliente de API. O cliente de API deve ter uma função com estas permissões:

Ler Dispositivos Móveis
Ler Computadores
Ler Usuário

Por favor, defina as seguintes variáveis de ambiente no seu App Service do SCEPman:

Configuração

Descrição

Exemplo

AppConfig:JamfValidation:URL

A URL da sua instância Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

O identificador do cliente da API do Jamf

Veja ClientId do Jamf

AppConfig:JamfValidation:ClientSecret

O valor do Client Secret para a configuração do Cliente de API.

Considere adicionar isto como um segredo no seu KeyVault.

Veja Client Secret do Jamf

A API Clássica do Jamf Pro suporta Autenticação Bearer desde a versão 10.35.0. Há uma configuração para desativar o método de autenticação anterior, Autenticação Básica, desde a versão 10.36.0. Uma versão futura do Jamf agendada para agosto-dezembro de 2022 removerá o suporte à Autenticação Básica. O SCEPman 2.0 e versões inferiores suportam apenas Autenticação Básica para a API Clássica, enquanto o SCEPman 2.1 e superiores usam Autenticação Bearer. Para usar Autenticação Bearer, você deve atualizar para o SCEPman 2.1 ou superior.

Conexão com CA Externa

Abra as configurações do Jamf Pro e escolha "PKI Certificates" em "Global Management":

Mude para a aba "Management Certificate Template", "External CA" e ative o modo de edição. Por favor, habilite o Jamf Pro como "SCEP Proxy for configuration profiles":

Por favor, preencha os seguintes campos e salve a configuração:

Campo

Descrição

Exemplo/Valor

URL

URL para o SCEPman

NÃO ESQUEÇA O /jamf no final

https://scepman.contoso.com/jamf

Nome

nome da instância

SCEPman Contoso

Assunto

entidades seguindo o padrão X.500

O=Contoso

Tipo de Challenge

tipo de challenge para verificação da emissão de certificados

Estático

(Verificar) Challenge

segredo pré-compartilhado (challenge)

definido no SCEPman via AppConfig parâmetro

Tamanho da Chave

tamanho da chave em bits

2048

Usar como assinatura digital

Sim (se necessário)

Usar para cifração de chave

Sim (se necessário)

Fingerprint

Impressão digital do certificado CA do SCEPman (SHA-1)

visível via painel do SCEPman ("CA Thumbprint")

Certificado de Assinatura

Ao usar uma CA externa, o Jamf exige que você adicione o certificado da CA para que o Jamf possa comparar se os certificados estão corretamente assinados. No entanto, o Jamf só permite adicionar um certificado de CA se você também adicionar um certificado de assinatura com a respectiva chave privada. O Jamf usa este certificado de assinatura para assinar pedidos de certificado que são enviados ao SCEPman. Entretanto, o SCEPman não avalia a assinatura nos pedidos e aceita até mesmo pedidos não assinados (por exemplo, do Intune), porque a validade do pedido decorre exclusivamente do uso da senha de challenge correta configurada no Jamf.

openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# Remover arquivos temporários
rm tempKey.key
rm tempCert.pem

$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)

Então clique em "Change Signing and CA Certificates" na configuração de CA Externa do Jamf

No assistente, faça o upload do arquivo PFX com o certificado de assinatura para o Jamf quando ele solicitar (Observação: Pkcs#12 e PFX são sinônimos). Nos passos seguintes, insira a senha do arquivo PFX e confirme a seleção do certificado de assinatura. Na aba "Upload CA Certificate", você deve fazer o upload do certificado CA do SCEPman. Você pode obter o certificado CA do SCEPman clicando no link "Get CA Certificate" no canto superior direito da página inicial da sua instância SCEPman. Finalmente, confirme suas alterações.

Last updated 14 days ago

Was this helpful?

Good night

hashtagAtivar Integração com Jamf

hashtagConexão com a API

hashtagConexão com CA Externa

hashtagCertificado de Assinatura

Ativar Integração com Jamf

Conexão com a API

Conexão com CA Externa

Certificado de Assinatura