Configuração geral

O SCEPman pode ser ligado ao Jamf Pro como uma CA externa através de um endpoint Jamf dedicado do SCEPman, permitindo que utilizadores e dispositivos inscritos obtenham certificados. O Jamf Pro atua como um Proxy SCEP, encaminhando a comunicação entre o SCEPman e os dispositivos do Jamf Pro.

Ativar a integração do Jamf

A integração do Jamf no SCEPman pode ser facilmente ativada através das seguintes variáveis de ambiente no serviço de aplicação do SCEPman:

Definição

Descrição

Exemplo

AppConfig:JamfValidation:Enabled

Pretende utilizar o SCEPman com o Jamf?

true

AppConfig:JamfValidation:RequestPassword

O Jamf autentica os seus pedidos de certificado no SCEPman com esta palavra-passe segura.

Considere adicionar isto como um segredo no seu SCEPman KeyVault.

máx. palavra-passe de 32 caracteres

AppConfig:JamfValidation:ValidityPeriodDays (opcional)

Durante quantos dias, no máximo, os certificados emitidos através do Jamf devem ser válidos?

365

AppConfig:JamfValidation:EnableCertificateStorage (opcional)

Ative esta definição para guardar certificados do Jamf no Certificate Master

true ou false (predefinição)

Ligação da API

O SCEPman precisa de estar ligado à API do Jamf para verificar o estado dos clientes integrados. Isto é utilizado para a revogação de certificados.

Consulte a documentação do Jamf sobre como criar uma função de API e um cliente de API. O cliente de API tem de ter uma função com estas permissões:

Ler dispositivos móveis
Ler computadores
Ler utilizador

Defina as seguintes variáveis de ambiente no seu Serviço de Aplicação do SCEPman:

Definição

Descrição

Exemplo

AppConfig:JamfValidation:URL

O URL da sua instância Jamf

https://contoso.jamfcloud.com

AppConfig:JamfValidation:ClientID

O identificador do cliente de API do Jamf

Ver Jamf ClientId

AppConfig:JamfValidation:ClientSecret

O valor de Client Secret para a configuração do Cliente de API.

Considere adicionar isto como um segredo no seu SCEPman KeyVault.

Ver Jamf Client Secret

A API Classic do Jamf Pro suporta autenticação Bearer desde a versão 10.35.0. Existe uma definição para desativar o método de autenticação anterior, Basic Authentication, desde a versão 10.36.0. Uma futura versão do Jamf, prevista para agosto-dezembro de 2022, removerá o suporte para Basic Authentication. O SCEPman 2.0 e inferiores suportam apenas Basic Authentication para a API Classic, enquanto o SCEPman 2.1 e superiores utilizam autenticação Bearer. Para utilizar autenticação Bearer, tem de atualizar para o SCEPman 2.1 ou superior.

Ligação de CA externa

Abra as definições do Jamf Pro e escolha "PKI Certificates" em "Global Management":

Mude para o separador "Management Certificate Template", "External CA" e ative o modo de edição. Ative o Jamf Pro como "SCEP Proxy for configuration profiles":

Preencha os seguintes campos e guarde a configuração:

Campo

Descrição

Exemplo/Valor

URL

URL para o SCEPman

Não NÃO Se esqueça de /jamf no fim

https://scepman.contoso.com/jamf

Nome

nome da instância

SCEPman Contoso

Assunto

entidades que seguem a norma X.500

O=Contoso

Tipo de desafio

tipo de desafio para verificação da emissão de certificados

Estático

Desafio de (verificação)

segredo pré-partilhado (desafio)

definido no SCEPman através do parâmetro AppConfig parâmetro

Tamanho da chave

tamanho da chave em bits

2048

Utilizar como assinatura digital

Sim (se necessário)

Utilizar para cifragem de chave

Sim (se necessário)

Impressão digital

Thumbprint do certificado CA do SCEPman (SHA-1)

visível através do painel do SCEPman ("CA Thumbprint")

Certificado de assinatura

Ao utilizar uma CA externa, o Jamf exige que adicione o certificado da CA para que o Jamf possa comparar se os certificados estão corretamente assinados. No entanto, o Jamf só permite adicionar um certificado de CA se também adicionar um certificado de assinatura com uma chave privada correspondente. O Jamf utiliza este certificado de assinatura para assinar pedidos de certificado enviados ao SCEPman. No entanto, o SCEPman não avalia a assinatura nos pedidos e aceita até pedidos não assinados (por exemplo, do Intune), porque a validade do pedido resulta exclusivamente da utilização da palavra-passe de desafio correta configurada no Jamf.

openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# Remover ficheiros temporários
rm tempKey.key
rm tempCert.pem

$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)

Em seguida, clique em "Change Signing and CA Certificates" na configuração de CA externa do Jamf

No assistente, carregue o ficheiro PFX com o certificado de assinatura para o Jamf quando este o solicitar (Nota: Pkcs#12 e PFX são sinónimos). Nos passos seguintes, introduza a palavra-passe do ficheiro PFX e confirme a seleção do certificado de assinatura. No separador "Upload CA Certificate", tem de carregar o certificado de CA do SCEPman. Pode obter o certificado de CA do SCEPman clicando na ligação "Get CA Certificate" no canto superior direito da página inicial da sua instância do SCEPman. Por fim, confirme as suas alterações.

Última atualização há 2 meses

Isto foi útil?