Verteilen von Zertifikaten mit dem Certificate (API)-Protokoll

Nachdem die Kommunikation zwischen Jamf Pro und DigiCert PKI-Plattform hergestellt wurde, können Sie Jamf Pro verwenden, um Zertifikate mit DigiCert als Zertifizierungsstelle an Computer und Mobilgeräte in Ihrer Umgebung zu verteilen. Hierfür verwenden Sie Konfigurationsprofile.

Zertifikate werden nicht sofort bereitgestellt. Das Konfigurationsprofil wird in die Warteschlange gestellt, um ein Zertifikat zu erhalten. Sobald die Payload „Zertifikat“ und das Konfigurationsprofil abgeschlossen sind, wird das Konfigurationsprofil auf dem Gerät bereitgestellt. Der Zeitraum für die Bereitstellung des Zertifikats hängt von der Serverauslastung ab und beträgt üblicherweise 5 Minuten (oder aber die Bereitstellung erfolgt beim nächsten Check-In des Geräts).
Hinweis:

Jamf Pro verteilt das Zertifikat 10 Tage vor Zertifikatablauf automatisch über ein Konfigurationsprofil neu. Wenn die Standardeinstellung von 10 Tagen nicht Ihren Anforderungen entspricht, wenden Sie sich an den Jamf Support.

Dieses Verfahren erfordert die gleichzeitige Konfiguration von Jamf Pro und DigiCert PKI-Plattform. Aufgrund der für jede Umgebung individuellen Konfiguration sind ggf. zusätzliche Schritte erforderlich.

Die folgenden Schritte müssen jedoch befolgt werden:

  1. Hinzufügen eines neuen Zertifikatprofils in DigiCert PKI-Plattform

  2. Konfigurieren von DigiCert als Zertifizierungsstelle in Jamf Pro

  3. Verteilen von DigiCert Zertifikaten an Geräte mithilfe von Konfigurationsprofilen
    Hinweis:

    Zertifikate werden nicht sofort bereitgestellt. Das Konfigurationsprofil wird in die Warteschlange gestellt, um ein Zertifikat zu erhalten. Sobald die Payload „Zertifikat“ und das Konfigurationsprofil abgeschlossen sind, wird das Konfigurationsprofil auf dem Gerät bereitgestellt. Der Zeitraum für die Bereitstellung des Zertifikats hängt von der Serverauslastung ab und beträgt üblicherweise 5 Minuten (oder aber die Bereitstellung erfolgt beim nächsten Check-In des Geräts).

  4. Kontrollieren der ordnungsgemäßen Ausstellung der DigiCert Zertifikate an Geräte

Schritt 1: Hinzufügen eines neuen Zertifikatprofils in der DigiCert PKI-Plattform

  1. Melden Sie sich bei der DigiCert PKI-Plattform an.
  2. Navigieren Sie zu Settings (Einstellungen) > Manage certificate profiles (Zertifikatprofile verwalten).
  3. Klicken Sie auf Add certificate profiles (Zertifikatprofile hinzufügen), um ein neues Zertifikatprofil zu konfigurieren, und befolgen Sie die Anweisungen auf dem Bildschirm.
  4. Fügen Sie weitere Zertifikatprofile hinzu, bis für jedes DigiCert Zertifikat eines erstellt wurde.

Schritt 2: Konfigurieren von DigiCert als Zertifizierungsstelle in Jamf Pro

Die nachfolgenden Schritte sind erforderlich, damit der Jamf Pro Server als Registrierungsstelle (RA) mit Zertifikaten authentifizierte Anforderungen an die Zertifizierungsstelle (CA) stellen kann.

  1. Klicken Sie in Jamf Pro oben rechts auf der Seite auf Einstellungen .
  2. Klicken Sie im Abschnitt Globale Verwaltung auf PKI-Zertifikate .
  3. Klicken Sie auf Neue Zertifizierungsstelle konfigurieren.
  4. Wählen Sie als PKI-Anbieter „DigiCert“ aus, klicken Sie auf Weiter und durchlaufen Sie den Assistenten für DigiCert Zertifikatprofile.
  5. Kopieren Sie die Zertifikatsignieranforderung von Jamf Pro und klicken Sie auf Weiter.
  6. Navigieren Sie zur Website von DigiCert PKI-Plattform (https://pki-manager.symauth.com/pki-manager/), wenn Sie dazu aufgefordert werden, und führen Sie die folgenden Schritte aus:
    1. Geben Sie Ihre PIN ein. Wählen Sie, falls erforderlich, das Zertifikat aus, das zur Authentifizierung verwendet werden soll.
    2. Navigieren Sie zu Settings (Einstellungen) > Get an RA certificate (RA-Zertifikat abrufen).
    3. Fügen Sie die Zertifikatsignieranforderung ein, die Sie in Jamf Pro kopiert haben, geben Sie einen Anzeigenamen für das Zertifikat ein, und klicken Sie auf Continue (Fortfahren).
    4. Klicken Sie auf Download (Herunterladen), um das erstellte DigiCert RA-Zertifikat herunterzuladen, und klicken Sie anschließend auf Done (Fertig).
  7. Öffnen Sie die heruntergeladene RA-Zertifikatdatei (.p7b) in einem beliebigen Texteditor und kopieren Sie ihren Inhalt.
  8. Klicken Sie in Jamf Pro auf Weiter.
  9. Geben Sie den DigiCert Konfigurationsnamen für die Zertifizierungsstelle ein, fügen Sie das kopierte RA-Zertifikat in das Feld Von DigiCert kopiertes RA-Zertifikat ein und klicken Sie auf Weiter.
  10. Wenn Sie Zertifikate automatisch von Computern oder Mobilgeräten zurückziehen möchten, aktivieren Sie die Option Enable automatic certificate revocation (Automatisches Zurückziehen des Zertifikats aktivieren). Weitere Informationen finden Sie unter Zurückziehen von DigiCert Zertifikaten.
  11. Klicken Sie auf Done (Fertig).
Wenn die neue Zertifizierungsstelle erfolgreich konfiguriert wurde, wird sie in der Tabelle der PKI-Zertifikate aufgeführt.

Schritt 3: Verteilen von DigiCert Zertifikaten an Geräte mithilfe von Konfigurationsprofilen

Wenn DigiCert als Zertifizierungsstelle zu Jamf Pro hinzugefügt und die Verbindung zwischen Jamf Pro und DigiCert hergestellt wurde, können Sie Zertifikate mit DigiCert als Zertifizierungsstelle mithilfe von Konfigurationsprofilen in Jamf Pro verteilen. Mit einem Konfigurationsprofil können Sie Einstellungen festlegen, mit denen auf Computern und Mobilgeräten CA-Zertifikate installiert werden und mit denen Benutzer auf Ressourcen wie VPNs oder WLANs zugreifen können.

Mit Konfigurationsprofilen können Sie das CA-Zertifikat direkt an Geräte mit der Payload „Zertifikat“ in Jamf Pro verteilen.
Hinweis:

Jamf Pro verteilt das Zertifikat 10 Tage vor Zertifikatablauf automatisch über ein Konfigurationsprofil neu. Wenn die Standardeinstellung von 10 Tagen nicht Ihren Anforderungen entspricht, wenden Sie sich an den Jamf Support.

Anforderungen

Stellen Sie sicher, dass die Anforderungen für die Verteilung von Konfigurationsprofilen erfüllt sind. Lesen Sie sich dazu die Anforderungen in den folgenden Abschnitten in der Jamf Connect Dokumentation durch:

  1. Klicken Sie oben in der Seitenleiste in Jamf Pro auf Computer oder Geräte .
  2. Klicken Sie in der Seitenleiste auf Konfigurationsprofile .
  3. Klicken Sie auf Neu .
  4. Konfigurieren Sie mithilfe der Payload „Allgemein“ die Grundeinstellungen, wie z. B. die Verteilungsmethode und die Ebene, auf der das Profil angewendet werden soll. Es werden nur die Payloads und Einstellungen angezeigt, die für die ausgewählte Anwendungsebene des Profils verfügbar sind.
  5. Wählen Sie die Payload „Zertifikat“ aus, klicken Sie auf Konfigurieren und gehen Sie folgendermaßen vor:
    1. Geben Sie einen anzuzeigenden Namen ein und wählen Sie anschließend im Einblendmenü Zertifikatsoption wählen eine DigiCert Instanz aus.
    2. Tragen Sie in die in diesem Bereich verfügbaren Felder die Informationen über die Zertifizierungsstelle ein.
  6. Konfigurieren Sie zusätzliche Payloads für das Profil, um Benutzern den Zugang zu Ressourcen wie VPNs oder WLANs zu erlauben. Je nachdem, für welche Möglichkeit zur Installation des CA-Zertifikats auf den Geräten Sie sich entscheiden, müssen Sie das Zertifikat ggf. einer zusätzlichen Payload als vertrauenswürdiges Zertifikat hinzufügen.
  7. Klicken Sie auf den Tab Bereich und konfigurieren Sie den Anwendungsbereich des Profils. Wenn Ihre PKI so konfiguriert ist, dass Zertifikate automatisch zurückgezogen werden, müssen Sie den Anwendungsbereich des Profils so festlegen, dass die Zertifikate automatisch von Geräten entfernt werden, die aus dem Anwendungsbereich entfernt werden. Weitere Informationen finden Sie unter Zurückziehen von DigiCert Zertifikaten.
  8. Klicken Sie auf Speichern und wählen Sie die Option An alle verteilen aus, wenn die DigiCert Zertifikate an alle Geräte verteilt werden sollen.
    Wichtig:

    Damit DigiCert Zertifikate für ein Gerät ordnungsgemäß ausgestellt werden können, müssen die Bestandsinformationen für den jeweiligen Benutzer vollständig vorliegen. Wenn die Bestandsinformationen für einen Benutzer in Jamf Pro unvollständig sind, enthält das für diesen Benutzer ausgestellte DigiCert Zertifikat für jedes fehlende Attribut den Eintrag „N/A (Nicht verfügbar)“.

  9. Wiederholen Sie den Vorgang für alle in Jamf Pro konfigurierten Konfigurationsprofile, um DigiCert Zertifikate des Managed PKI Dienstes für Computer oder Mobilgeräte auszustellen.

Schritt 4: Kontrollieren der ordnungsgemäßen Ausstellung der DigiCert Zertifikate an Geräte

Um sicherzustellen, dass ein DigiCert Zertifikat ordnungsgemäß für ein Gerät ausgestellt wurde, navigieren Sie zu dem Datensatz des Geräts in Jamf Pro, klicken Sie auf den Tab Verlauf, wechseln Sie zur Kategorie Verwaltungsverlauf und vergewissern Sie sich, dass der Zertifikatprozess erfolgreich abgeschlossen wurde.