# Configuração Geral
O SCEPman pode ser ligado ao Jamf Pro como uma CA externa através de um endpoint Jamf dedicado do SCEPman, permitindo que utilizadores e dispositivos inscritos obtenham certificados. O Jamf Pro atua como um Proxy SCEP, encaminhando a comunicação entre o SCEPman e os dispositivos do Jamf Pro.
## Ativar a integração do Jamf
A integração do Jamf no SCEPman pode ser facilmente ativada através das seguintes variáveis de ambiente no **serviço de aplicação do SCEPman**:
| Definição | Descrição | Exemplo |
| ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------- |
| [AppConfig:JamfValidation:Enabled](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-enabled) | Pretende utilizar o SCEPman com o Jamf? | true |
| [AppConfig:JamfValidation:RequestPassword](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-requestpassword) | O Jamf autentica os seus pedidos de certificado no SCEPman com esta palavra-passe segura.
Considere adicionar isto como um segredo no seu SCEPman KeyVault.
| máx. *palavra-passe de 32 caracteres* |
| [AppConfig:JamfValidation:ValidityPeriodDays](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-validityperioddays) (opcional) | Durante quantos dias, no máximo, os certificados emitidos através do Jamf devem ser válidos? | 365 |
| [AppConfig:JamfValidation:EnableCertificateStorage](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-enablecertificatestorage) (opcional) | Ative esta definição para guardar certificados do Jamf no Certificate Master | true ou false (predefinição) |
## Ligação da API
O SCEPman precisa de estar ligado à API do Jamf para verificar o estado dos clientes integrados. Isto é utilizado para a revogação de certificados.
[Consulte a documentação do Jamf](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html) sobre como criar uma função de API e um cliente de API. O cliente de API tem de ter uma função com estas permissões:
* Ler dispositivos móveis
* Ler computadores
* Ler utilizador
Defina as seguintes variáveis de ambiente no seu **Serviço de Aplicação do SCEPman**:
| Definição | Descrição | Exemplo |
| ----------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------ |
| [AppConfig:JamfValidation:URL](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-url) | O URL da sua instância Jamf | `https://contoso.jamfcloud.com` |
| [AppConfig:JamfValidation:ClientID](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-clientid) | O identificador do cliente de API do Jamf | Ver [Jamf ClientId](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title3) |
| [AppConfig:JamfValidation:ClientSecret](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-clientsecret) | O valor de Client Secret para a configuração do Cliente de API.
Considere adicionar isto como um segredo no seu SCEPman KeyVault.
| Ver [Jamf Client Secret](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/API_Roles_and_Clients.html#ariaid-title4) |
{% hint style="warning" %}
A API Classic do Jamf Pro suporta autenticação Bearer desde a versão 10.35.0. Existe uma definição para desativar o método de autenticação anterior, Basic Authentication, desde a versão 10.36.0. Uma futura versão do Jamf, prevista para agosto-dezembro de 2022, removerá o suporte para Basic Authentication. O SCEPman 2.0 e inferiores suportam apenas Basic Authentication para a API Classic, enquanto o SCEPman 2.1 e superiores utilizam autenticação Bearer. Para utilizar autenticação Bearer, tem de atualizar para o SCEPman 2.1 ou superior.
{% endhint %}
## Ligação de CA externa
Abra as definições do Jamf Pro e escolha "PKI Certificates" em "Global Management":
Mude para o separador "Management Certificate Template", "External CA" e ative o modo de edição. Ative o Jamf Pro como "SCEP Proxy for configuration profiles":
Preencha os seguintes campos e guarde a configuração:
| Campo | Descrição | Exemplo/Valor |
| -------------------------------- | ---------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **URL** | URL para o SCEPman
Não NÃO Se esqueça de /jamf no fim
| |
| **Nome** | nome da instância | SCEPman Contoso |
| **Assunto** | entidades que seguem a norma X.500 | O=Contoso |
| **Tipo de desafio** | tipo de desafio para verificação da emissão de certificados | Estático |
| **Desafio de (verificação)** | segredo pré-partilhado (desafio) | definido no SCEPman através do parâmetro [AppConfig](/pt/configuracao-do-scepman/application-settings/scep-endpoints/jamf-validation.md#appconfig-jamfvalidation-requestpassword) parâmetro |
| Tamanho da chave | tamanho da chave em bits | 2048 |
| Utilizar como assinatura digital | | Sim (se necessário) |
| Utilizar para cifragem de chave | | Sim (se necessário) |
| Impressão digital | Thumbprint do certificado CA do SCEPman (SHA-1) | visível através do painel do SCEPman ("CA Thumbprint") |
### Certificado de assinatura
Ao utilizar uma CA externa, o Jamf exige que adicione o certificado da CA para que o Jamf possa comparar se os certificados estão corretamente assinados. No entanto, o Jamf só permite adicionar um certificado de CA se também adicionar um certificado de assinatura com uma chave privada correspondente. O Jamf utiliza este certificado de assinatura para assinar pedidos de certificado enviados ao SCEPman. No entanto, o SCEPman não avalia a assinatura nos pedidos e aceita até pedidos não assinados (por exemplo, do Intune), porque a validade do pedido resulta exclusivamente da utilização da palavra-passe de desafio correta configurada no Jamf.
{% tabs %}
{% tab title="OpenSSL" %}
```shellscript
openssl req -x509 -newkey rsa:4096 -keyout tempKey.key -out tempCert.pem -sha256 -days 3650 -nodes -subj "/CN=JAMF Signer Certificate for SCEPman"
openssl pkcs12 -export -out SigningCert.pfx -inkey ./tempKey.key -in ./tempCert.pem -passout pass:password
# Remover ficheiros temporários
rm tempKey.key
rm tempCert.pem
```
{% endtab %}
{% tab title="PowerShell" %}
```powershell
$cert = New-SelfSignedCertificate -Subject "CN=JAMF Signer Certificate for SCEPman" -CertStoreLocation "Cert:\CurrentUser\My" -NotAfter (Get-Date).AddYears(10)
$pfxBytes = $cert.Export([System.Security.Cryptography.X509Certificates.X509ContentType]::Pfx, "password")
[System.IO.File]::WriteAllBytes("c:\temp\jamf.pfx", $pfxBytes)
```
{% endtab %}
{% endtabs %}
Em seguida, clique em "Change Signing and CA Certificates" na configuração de CA externa do Jamf
No assistente, carregue o ficheiro PFX com o certificado de assinatura para o Jamf quando este o solicitar (Nota: Pkcs#12 e PFX são sinónimos). Nos passos seguintes, introduza a palavra-passe do ficheiro PFX e confirme a seleção do certificado de assinatura. No separador "Upload CA Certificate", tem de carregar o certificado de CA do SCEPman. Pode obter o certificado de CA do SCEPman clicando na ligação "Get CA Certificate" no canto superior direito da página inicial da sua instância do SCEPman. Por fim, confirme as suas alterações.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/pt/gestao-de-certificados/jamf/general.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.