circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Configuração Geral

O SCEPman pode ser conectado ao Jamf Pro como uma CA Externa através de um endpoint Jamf dedicado do SCEPman, permitindo que usuários e dispositivos cadastrados obtenham certificados. O Jamf Pro atua como um SCEP Proxy, intermediando a comunicação entre o SCEPman e os dispositivos Jamf Pro.

hashtag
Ativar Integração com Jamf

A integração do SCEPman com o Jamf pode ser facilmente ativada através das seguintes variáveis de ambiente em serviço de aplicativo SCEPman:

Configuração
Descrição
Exemplo

AppConfig:JamfValidation:Enabled

Você quer usar o SCEPman com o Jamf?

true

AppConfig:JamfValidation:RequestPassword

O Jamf autentica seus pedidos de certificado no SCEPman com esta senha segura.

Considere adicionar isso como um segredo no seu KeyVault.

máx Senha de 32 caracteres

AppConfig:JamfValidation:ValidityPeriodDays (opcional)

Por quantos dias os certificados emitidos via Jamf deverão ser válidos no máximo?

365

AppConfig:JamfValidation:EnableCertificateStorage (opcional)

Ative esta configuração para salvar certificados do Jamf no Certificate Master

true ou false (padrão)

hashtag
Conexão com a API

O SCEPman precisa estar conectado à API do Jamf para verificar o status dos clientes cadastrados. Isso é usado para a revogação de certificados.

Consulte a documentação do Jamfarrow-up-right sobre como criar um papel de API e um cliente de API. O cliente de API deve ter um papel com estas permissões:

  • Ler Dispositivos Móveis

  • Ler Computadores

  • Ler Usuário

Por favor defina as seguintes variáveis de ambiente em seu Serviço de Aplicativo SCEPman:

Configuração
Descrição
Exemplo

AppConfig:JamfValidation:URL

A URL da sua instância Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

O identificador do cliente da API do Jamf

Veja ClientId do Jamfarrow-up-right

AppConfig:JamfValidation:ClientSecret

O valor do Client Secret para a configuração do Cliente de API.

Considere adicionar isso como um segredo no seu KeyVault.

Veja Client Secret do Jamfarrow-up-right

circle-exclamation

A API Clássica do Jamf Pro suporta Autenticação Bearer desde a versão 10.35.0. Há uma configuração para desativar o método de autenticação anterior, Autenticação Básica, desde a versão 10.36.0. Uma versão futura do Jamf, programada para agosto-dezembro de 2022, removerá o suporte à Autenticação Básica. O SCEPman 2.0 e anteriores suportam apenas Autenticação Básica para a API Clássica, enquanto o SCEPman 2.1 e posteriores usam Autenticação Bearer. Para usar Autenticação Bearer, você deve atualizar para o SCEPman 2.1 ou superior.

hashtag
Conexão com CA Externa

Abra as configurações do Jamf Pro e escolha "PKI Certificates" em "Global Management":

Mude para a guia "Management Certificate Template", "External CA" e ative o modo de edição. Por favor ative o Jamf Pro como "SCEP Proxy para perfis de configuração":

Por favor preencha os campos a seguir e salve a configuração:

Campo
Descrição
Exemplo/Valor

URL

URL para o SCEPman

NÃO NÃO Esqueça o /jamf no final

https://scepman.contoso.com/jamfarrow-up-right

Nome

nome da instância

SCEPman Contoso

Assunto

entidades seguindo o padrão X.500

O=Contoso

Tipo de Challenge

tipo de challenge para verificação da emissão de certificado

Static

(Verificar) Challenge

segredo pré-compartilhado (challenge)

definido no SCEPman via AppConfig parâmetro

Tamanho da Chave

tamanho da chave em bits

2048

Usar como assinatura digital

Sim (se necessário)

Usar para cifragem de chave

Sim (se necessário)

Impressão Digital

Thumbprint do certificado CA do SCEPman (SHA-1)

visível através do painel do SCEPman ("CA Thumbprint")

hashtag
Certificado de Assinatura

Ao usar uma CA externa, o Jamf exige que você adicione o certificado da CA para que o Jamf possa comparar se os certificados estão corretamente assinados. No entanto, o Jamf só permite adicionar um certificado de CA se você também adicionar um certificado de assinatura com a chave privada correspondente. O Jamf usa esse certificado de assinatura para assinar pedidos de certificado que são enviados ao SCEPman. Contudo, o SCEPman não avalia a assinatura nos pedidos e aceita até pedidos não assinados (por exemplo do Intune), porque a validade do pedido decorre unicamente do uso da senha de challenge correta configurada no Jamf.

Portanto, você pode usar qualquer certificado como certificado de assinatura, por exemplo você pode gerar um certificado autoassinado com o seguinte comando PowerShell:

Então clique em "Change Signing and CA Certificates" na configuração de CA Externa do Jamf

No assistente, faça upload do arquivo PFX com o certificado de assinatura para o Jamf quando ele solicitar (Nota: Pkcs#12 e PFX são sinônimos). Nos passos seguintes, insira a senha do arquivo PFX e confirme a seleção do certificado de assinatura. Na guia "Upload CA Certificate", você deve fazer o upload do certificado CA do SCEPman. Você pode obter o certificado CA do SCEPman clicando no link "Get CA Certificate" no canto superior direito da página inicial da sua instância do SCEPman. Por fim, confirme suas alterações.

Last updated

Was this helpful?