Schritt 1: Hinzufügen eines neuen Zertifikatprofils in DigiCert PKI Platform

1. Melden Sie sich bei DigiCert PKI Plattform an.

2. Navigieren Sie zu Setting (Einstellungen) > Manage certificate profiles (Zertifikatprofile verwalten).

3. Klicken Sie auf Add certificate profiles (Zertifikatprofile hinzufügen), um ein neues Zertifikatprofil zu konfigurieren, und befolgen Sie die Anweisungen auf dem Bildschirm.

4. Fügen Sie so lange weitere Zertifikatprofile hinzu, bis sie für jedes DigiCert Zertifikat eines erstellt haben.

Schritt 2: Konfigurieren von DigiCert als Zertifizierungsstelle in Jamf Pro

Die nachfolgenden Schritte sind erforderlich, damit der Jamf Pro Server als Registrierungsstelle (RA) mit Zertifikaten authentifizierte Anforderungen an die Zertifizierungsstelle (CA) stellen kann.

1. Melden Sie sich bei Jamf Pro an.

2. Klicken Sie in der oberen rechten Ecke der Seite auf Einstellungen .

3. Klicken Sie auf Globale Verwaltung.

4. Klicken Sie auf PKI-Zertifikate .

5. Klicken Sie auf Neue Zertifizierungsstelle konfigurieren.

6. Wählen Sie als PKI-Anbieter „DigiCert“ aus, klicken Sie auf Weiter und durchlaufen Sie den Assistenten für DigiCert Zertifikatprofile.

7. Kopieren Sie die Zertifikatsignieranforderung von Jamf Pro und klicken Sie auf Weiter.

8. Navigieren Sie zur Website von DigiCert PKI Platform (https://pki-manager.symauth.com/pki-manager/), wenn Sie dazu aufgefordert werden, und führen Sie die folgenden Schritte aus:

   1. Geben Sie Ihre PIN ein. Wählen Sie, falls erforderlich, das Zertifikat aus, das zur Authentifizierung verwendet werden soll.

   2. Navigieren Sie zu Settings (Einstellungen) > Get an RA certificate (RA-Zertifikat abrufen).

   3. Fügen Sie die Zertifikatsignieranforderung ein, die Sie in Jamf Pro kopiert haben, geben Sie einen Anzeigenamen für das Zertifikat ein, und klicken Sie auf Continue (Fortfahren).

   4. Klicken Sie auf Download (Herunterladen), um das erstellte DigiCert RA-Zertifikat herunterzuladen, und klicken Sie anschließend auf Done (Fertig).

9. Öffnen Sie die heruntergeladene RA-Zertifikatdatei (.p7b) in einem beliebigen Texteditor und kopieren Sie ihren Inhalt.

10. Klicken Sie in Jamf Pro auf Weiter.

11. Geben Sie unter „DigiCert CA Configuration Name (Konfigurationsname für DigiCert Zertifizierungsstelle)“ den entsprechenden Namen ein, fügen Sie den kopierten Inhalt der RA-Zertifikatdatei in das Feld RA Certificate Copied from DigiCert (Von DigiCert kopiertes RA-Zertifikat) ein und klicken Sie auf Weiter.

12. Wenn Sie Zertifikate automatisch von Computern oder Mobilgeräten zurückziehen möchten, aktivieren Sie die Option Enable automatic certificate revocation (Automatisches Zurückziehen des Zertifikats aktivieren).
    Weitere Informationen finden Sie unter Zurückziehen von DigiCert Zertifikaten.

13. Klicken Sie auf Fertig. Wenn die neue Zertifizierungsstelle erfolgreich konfiguriert wurde, wird sie in der Tabelle der PKI-Zertifikate aufgeführt.

Schritt 3: Verteilen von DigiCert Zertifikaten an Geräte mithilfe von Konfigurationsprofilen

Wenn DigiCert als Zertifizierungsstelle zu Jamf Pro hinzugefügt und die Verbindung zwischen Jamf Pro und DigiCert hergestellt wurde, können Sie Zertifikate mit DigiCert als Zertifizierungsstelle mithilfe von Konfigurationsprofilen in Jamf Pro verteilen. Mit einem Konfigurationsprofil können Sie Einstellungen festlegen, mit denen auf Computern und Mobilgeräten CA-Zertifikate installiert werden und mit denen Benutzer auf Ressourcen wie VPNs oder WLANs zugreifen können.

Mit Konfigurationsprofilen können Sie folgendermaßen die Installation von CA-Zertifikaten auf Geräten erlauben:

• Das Zertifikat der Zertifizierungsstelle direkt an die Geräte verteilen – Mit der Payload „Zertifikate“ in Jamf Pro können Sie das CA-Zertifikat direkt an Geräte verteilen.

• Geräten die Kommunikation mit dem SCEP-Server erlauben – Wenn in Ihrer Umgebung SCEP (Simple Certificate Enrollment Protocol) unterstützt wird, können Sie Einstellungen konfigurieren, mit denen es Geräten ermöglicht wird, mit Ihrem SCEP-Server zu kommunizieren, um das CA-Zertifikat abzurufen.

Stellen Sie zudem sicher, dass die Anforderungen für die Verteilung von Konfigurationsprofilen erfüllt werden. Diese Anforderungen finden Sie in den folgenden Abschnitten im Jamf Pro Leitfaden für Administratoren:

• Konfigurationsprofile für Computer

• Konfigurationsprofile für Mobilgeräte

1. Melden Sie sich bei Jamf Pro an.

2. Erstellen Sie ein Konfigurationsprofil für Computer oder Mobilgeräte:

   1. Um ein Konfigurationsprofil für Computer zu erstellen, klicken Sie oben auf der Seite auf Computer. Klicken Sie anschließend auf Konfigurationsprofile.

   2. Um ein Konfigurationsprofil für Mobilgeräte zu erstellen, klicken Sie oben auf der Seite auf Geräte. Klicken Sie anschließend auf Konfigurationsprofile.

3. Klicken Sie auf Neu.

4. Konfigurieren Sie mithilfe der Payload „Allgemein“ die Grundeinstellungen, wie z. B. die Verteilungsmethode und die Ebene, auf der das Profil angewendet werden soll. Es werden nur die Payloads und Einstellungen angezeigt, die für die ausgewählte Anwendungsebene des Profils verfügbar sind.

5. Führen Sie einen der folgenden Schritte aus, um festzulegen, wie der Abruf und die Installation des CA-Zertifikats auf Geräten erfolgen soll:

   1. SCEP – Wenn Geräte zum Abrufen des CA-Zertifikats direkt mit dem SCEP-Server kommunizieren können sollen, wählen Sie die Payload „SCEP“ aus, klicken Sie auf Konfigurieren und gehen Sie wie folgt vor:

      1. Geben Sie die im DigiCert Zertifikatprofil angegebene Registrierungs-URL für SCEP ein.

      2. Geben Sie den Namen der Zertifizierungsstelle ein, der im DigiCert Konfigurationsprofil im Feld Name angezeigt wird.

      3. Wählen Sie im Einblendmenü Challenge-Typ die Option „Dynamic-DigiCert (Dynamisch – DigiCert)“ und anschließend die DigiCert PKI-Instanz aus, die Sie verwenden möchten.

      4. Wählen Sie die Zertifikatprofil-ID und die Platz-ID aus, die Sie für die SCEP-Challenge verwenden möchten.

         Hinweis:

         • Die in Jamf Pro auf der Einrichtungsseite für Konfigurationsprofile aufgeführten OIDs beziehen sich auf die Zertifikatprofileinträge in DigiCert PKI Manager. Sie können die OIDs vergleichen, um sicherzustellen, dass die Einstellungen des Konfigurationsprofils korrekt sind und mit den im Eintrag des Zertifikatprofils in DigiCert PKI Manager festgelegten Einstellungen übereinstimmen.

         • Jede Kombination aus Zertifikatprofil-ID und Platz-ID kann nur einmal pro Konfigurationsprofil verwendet werden.

         • Jede Zertifikatprofil-ID sollte nur einmal pro Konfigurationsprofil verwendet werden. Wenn dieselbe Zertifikatprofil-ID in mehreren Konfigurationsprofile für denselben Gerätetyp verwendet wird, werden Zertifikate möglicherweise fehlerhaft zugewiesen. Sie können jedoch dieselbe Zertifikatprofil-ID in mehreren Konfigurationsprofilen für unterschiedliche Gerätetypen verwenden (z. B. einmal in einem Konfigurationsprofil für Computer und einmal in einem für Mobilgeräte).

         • Es empfiehlt sich, als Platz-ID für SCEP-Profile den im Feld Antragsteller eingetragenen allgemeinen Namen (CN) zu verwenden.

         • Je nach den Anforderungen des von DigiCert verwendeten Zertifikatprofils müssen Sie ggf. zusätzliche Einstellungen konfigurieren (z. B. Schlüssellänge, Als digitale Signatur verwenden und Für Schlüsselverschlüsselung verwenden).

   2. API (Payload „Zertifikat“) – Um das CA-Zertifikat direkt an Geräte zu verteilen, wählen Sie die Payload „Zertifikat“ aus, klicken Sie auf Konfigurieren und gehen Sie wie folgt vor:

      1. Geben Sie einen anzuzeigenden Namen ein und wählen Sie anschließend im Einblendmenü Zertifikatsoption wählen eine DigiCert Instanz aus.

      2. Tragen Sie in die in diesem Bereich verfügbaren Felder die Informationen über die Zertifizierungsstelle ein.

6. Konfigurieren Sie zusätzliche Payloads für das Profil, um Benutzern den Zugang zu Ressourcen wie VPNs oder WLANs zu erlauben. Je nachdem, für welche Möglichkeit zur Installation des CA-Zertifikats auf den Geräten Sie sich entscheiden, müssen Sie das Zertifikat ggf. einer zusätzlichen Payload als vertrauenswürdiges Zertifikat hinzufügen.

7. Klicken Sie auf den Tab Bereich und konfigurieren Sie den Anwendungsbereich des Profils. Wenn Ihre PKI so konfiguriert ist, dass Zertifikate automatisch zurückgezogen werden, müssen Sie den Anwendungsbereich des Profils so festlegen, dass die Zertifikate automatisch von Geräten entfernt werden, die aus dem Anwendungsbereich entfernt werden. Weitere Informationen finden Sie unter Zurückziehen von DigiCert Zertifikaten.

8. Klicken Sie auf Speichern und wählen Sie die Option An alle verteilen aus, wenn die DigiCert Zertifikate an alle Geräte verteilt werden sollen.

   Wichtig: Damit DigiCert Zertifikate für ein Gerät ordnungsgemäß ausgestellt werden können, müssen die Bestandsinformationen für den jeweiligen Benutzer vollständig vorliegen. Wenn die Bestandsinformationen für einen Benutzer in Jamf Pro unvollständig sind, enthält das für diesen Benutzer ausgestellte DigiCert Zertifikat für jedes fehlende Attribut den Eintrag „N/A (Nicht verfügbar)“.

9. Wiederholen Sie den Vorgang für alle in Jamf Pro konfigurierten Konfigurationsprofile, um Zertifikate des DigiCert Managed PKI Dienstes für Computer oder Mobilgeräte auszustellen.

Schritt 4: Kontrollieren der ordnungsgemäßen Ausstellung der DigiCert Zertifikate für die Geräte

Um sicherzustellen, dass ein DigiCert Zertifikat ordnungsgemäß für ein Gerät ausgestellt wurde, navigieren Sie zu dem Datensatz des Geräts in Jamf Pro, klicken Sie auf den Tab Verlauf, wechseln Sie zur Kategorie Verwaltungsverlauf und vergewissern Sie sich, dass der Zertifikatprozess erfolgreich abgeschlossen wurde.