Configuração geral
O SCEPman pode ser conectado ao Jamf Pro como uma CA externa por meio de um endpoint dedicado do Jamf do SCEPman, permitindo que usuários e dispositivos inscritos obtenham certificados. O Jamf Pro atua como um proxy SCEP, fazendo proxy da comunicação entre o SCEPman e os dispositivos do Jamf Pro.
Ativar a integração com Jamf
A integração do SCEPman com o Jamf pode ser facilmente ativada por meio das seguintes variáveis de ambiente no serviço de aplicativo do SCEPman:
O Jamf autentica suas solicitações de certificado no SCEPman com esta senha segura.
Considere adicionar isto como um segredo no seu SCEPman KeyVault.
máx. senha de 32 caracteres
AppConfig:JamfValidation:ValidityPeriodDays (opcional)
Por quantos dias, no máximo, os certificados emitidos via Jamf devem ser válidos?
365
Ative esta configuração para salvar certificados do Jamf no Certificate Master
verdadeiro ou falso (padrão)
Conexão API
O SCEPman precisa estar conectado à API do Jamf para verificar o status dos clientes inscritos. Isso é usado para a revogação de certificados.
Consulte a documentação do Jamf sobre como criar uma função de API e um cliente de API. O cliente de API deve ter uma função com estas permissões:
Ler dispositivos móveis
Ler computadores
Ler usuário
Defina as seguintes variáveis de ambiente no seu App Service do SCEPman:
O identificador do cliente da API do Jamf
O valor do segredo do cliente para a configuração do cliente da API.
Considere adicionar isto como um segredo no seu SCEPman KeyVault.
A API Clássica do Jamf Pro suporta autenticação Bearer desde a versão 10.35.0. Há uma configuração para desativar o método de autenticação anterior, Autenticação Básica, desde a versão 10.36.0. Uma futura versão do Jamf, prevista para agosto-dezembro de 2022, removerá o suporte à Autenticação Básica. O SCEPman 2.0 e versões anteriores suportam apenas Autenticação Básica para a API Clássica, enquanto o SCEPman 2.1 e versões posteriores usam Autenticação Bearer. Para usar a Autenticação Bearer, você deve atualizar para o SCEPman 2.1 ou superior.
Conexão com CA externa
Abra as configurações do Jamf Pro e escolha "PKI Certificates" em "Global Management":
Alterne para a aba "Management Certificate Template", "External CA" e ative o modo de edição. Ative o Jamf Pro como "SCEP Proxy for configuration profiles":
Preencha os seguintes campos e salve a configuração:
Nome
nome da instância
SCEPman Contoso
Assunto
entidades seguindo o padrão X.500
O=Contoso
Tipo de desafio
tipo de desafio para verificação da emissão do certificado
Static
Tamanho da chave
tamanho da chave em bits
2048
Usar como assinatura digital
Sim (se necessário)
Usar para encapsulamento de chave
Sim (se necessário)
Impressão digital
Impressão digital do certificado da CA do SCEPman (SHA-1)
visível no painel do SCEPman ("CA Thumbprint")
Certificado de assinatura
Ao usar uma CA externa, o Jamf exige que você adicione o certificado da CA para que o Jamf possa comparar se os certificados estão corretamente assinados. No entanto, o Jamf só permite adicionar um certificado da CA se você também adicionar um certificado de assinatura com uma chave privada correspondente. O Jamf usa este certificado de assinatura para assinar solicitações de certificado enviadas ao SCEPman. No entanto, o SCEPman não avalia a assinatura nas solicitações e aceita até solicitações sem assinatura (por exemplo, do Intune), porque a validade da solicitação decorre exclusivamente do uso da senha de desafio correta configurada no Jamf.
Depois, clique em "Change Signing and CA Certificates" na configuração de External CA do Jamf
No assistente, carregue o ficheiro PFX com o certificado de assinatura para o Jamf quando ele solicitar (Nota: Pkcs#12 e PFX são sinónimos). Nas etapas seguintes, introduza a senha do ficheiro PFX e confirme a seleção do certificado de assinatura. Na aba "Upload CA Certificate", você deve carregar o certificado da CA do SCEPman. Você pode obter o certificado da CA do SCEPman clicando no link "Get CA Certificate" no canto superior direito da página inicial da sua instância do SCEPman. Por fim, confirme as suas alterações.
Last updated
Was this helpful?