Verteilen von Zertifikaten mit dem SCEP-Protokoll

Nachdem die Kommunikation zwischen Jamf Pro und DigiCert PKI-Plattform hergestellt wurde, können Sie Jamf Pro verwenden, um Zertifikate mit DigiCert als Zertifizierungsstelle an Computer und Mobilgeräte in Ihrer Umgebung zu verteilen. Hierfür verwenden Sie Konfigurationsprofile.

Wenn Zertifikate mit dem SCEP-Protokoll verteilt werden, wird der Datenverkehr direkt an DigiCert PKI-Plattform geleitet. Er wird nicht über Jamf Pro als Proxy geleitet. Dies ermöglicht sowohl dynamische Challenges als auch automatischen Widerruf, um Ihre Zertifikatsicherheit in SCEP-Workflows zu verstärken.

Die folgenden Schritte müssen jedoch befolgt werden:

  1. Hinzufügen eines neuen Zertifikatprofils in DigiCert PKI-Plattform

  2. Konfigurieren von DigiCert als Zertifizierungsstelle in Jamf Pro

  3. Verteilen von DigiCert Zertifikaten an Geräte mithilfe von Konfigurationsprofilen

  4. Kontrollieren der ordnungsgemäßen Ausstellung der DigiCert Zertifikate an Geräte

Schritt 1: Hinzufügen eines neuen Zertifikatprofils in der DigiCert PKI-Plattform

  1. Melden Sie sich bei der DigiCert PKI-Plattform an.
  2. Navigieren Sie zu Settings (Einstellungen) > Manage certificate profiles (Zertifikatprofile verwalten).
  3. Klicken Sie auf Add certificate profiles (Zertifikatprofile hinzufügen), um ein neues Zertifikatprofil zu konfigurieren, und befolgen Sie die Anweisungen auf dem Bildschirm.
  4. Fügen Sie weitere Zertifikatprofile hinzu, bis für jedes DigiCert Zertifikat eines erstellt wurde.

Schritt 2: Konfigurieren von DigiCert als Zertifizierungsstelle in Jamf Pro

Die nachfolgenden Schritte sind erforderlich, damit der Jamf Pro Server als Registrierungsstelle (RA) mit Zertifikaten authentifizierte Anforderungen an die Zertifizierungsstelle (CA) stellen kann.

  1. Klicken Sie in Jamf Pro oben rechts auf der Seite auf Einstellungen .
  2. Klicken Sie im Abschnitt Globale Verwaltung auf PKI-Zertifikate .
  3. Klicken Sie auf Neue Zertifizierungsstelle konfigurieren.
  4. Wählen Sie als PKI-Anbieter „DigiCert“ aus, klicken Sie auf Weiter und durchlaufen Sie den Assistenten für DigiCert Zertifikatprofile.
  5. Kopieren Sie die Zertifikatsignieranforderung von Jamf Pro und klicken Sie auf Weiter.
  6. Navigieren Sie zur Website von DigiCert PKI-Plattform (https://pki-manager.symauth.com/pki-manager/), wenn Sie dazu aufgefordert werden, und führen Sie die folgenden Schritte aus:
    1. Geben Sie Ihre PIN ein. Wählen Sie, falls erforderlich, das Zertifikat aus, das zur Authentifizierung verwendet werden soll.
    2. Navigieren Sie zu Settings (Einstellungen) > Get an RA certificate (RA-Zertifikat abrufen).
    3. Fügen Sie die Zertifikatsignieranforderung ein, die Sie in Jamf Pro kopiert haben, geben Sie einen Anzeigenamen für das Zertifikat ein, und klicken Sie auf Continue (Fortfahren).
    4. Klicken Sie auf Download (Herunterladen), um das erstellte DigiCert RA-Zertifikat herunterzuladen, und klicken Sie anschließend auf Done (Fertig).
  7. Öffnen Sie die heruntergeladene RA-Zertifikatdatei (.p7b) in einem beliebigen Texteditor und kopieren Sie ihren Inhalt.
  8. Klicken Sie in Jamf Pro auf Weiter.
  9. Geben Sie den DigiCert Konfigurationsnamen für die Zertifizierungsstelle ein, fügen Sie das kopierte RA-Zertifikat in das Feld Von DigiCert kopiertes RA-Zertifikat ein und klicken Sie auf Weiter.
  10. Wenn Sie Zertifikate automatisch von Computern oder Mobilgeräten zurückziehen möchten, aktivieren Sie die Option Enable automatic certificate revocation (Automatisches Zurückziehen des Zertifikats aktivieren). Weitere Informationen finden Sie unter Zurückziehen von DigiCert Zertifikaten.
  11. Klicken Sie auf Done (Fertig).
Wenn die neue Zertifizierungsstelle erfolgreich konfiguriert wurde, wird sie in der Tabelle der PKI-Zertifikate aufgeführt.

Schritt 3: Verteilen von DigiCert Zertifikaten an Geräte mithilfe von Konfigurationsprofilen

Wenn DigiCert als Zertifizierungsstelle zu Jamf Pro hinzugefügt und die Verbindung zwischen Jamf Pro und DigiCert hergestellt wurde, können Sie Zertifikate mit DigiCert als Zertifizierungsstelle mithilfe von Konfigurationsprofilen in Jamf Pro verteilen. Mit einem Konfigurationsprofil können Sie Einstellungen festlegen, mit denen auf Computern und Mobilgeräten CA-Zertifikate installiert werden und mit denen Benutzer auf Ressourcen wie VPNs oder WLANs zugreifen können.

Anforderungen

Stellen Sie sicher, dass die Anforderungen für die Verteilung von Konfigurationsprofilen erfüllt sind. Lesen Sie sich dazu die Anforderungen in den folgenden Abschnitten in der Jamf Connect Dokumentation durch:

  1. Klicken Sie oben in der Seitenleiste in Jamf Pro auf Computer oder Geräte .
  2. Klicken Sie in der Seitenleiste auf Konfigurationsprofile .
  3. Klicken Sie auf Neu .
  4. Konfigurieren Sie mithilfe der Payload „Allgemein“ die Grundeinstellungen, wie z. B. die Verteilungsmethode und die Ebene, auf der das Profil angewendet werden soll. Es werden nur die Payloads und Einstellungen angezeigt, die für die ausgewählte Anwendungsebene des Profils verfügbar sind.
  5. Wenn Geräte zum Abrufen des CA-Zertifikats direkt mit dem SCEP-Server kommunizieren können sollen, wählen Sie die Payload „SCEP“ aus, klicken Sie auf Konfigurieren und gehen Sie wie folgt vor:
    1. Geben Sie die im DigiCert Zertifikatprofil angegebene Registrierungs-URL für SCEP ein.
    2. Geben Sie den Namen der Zertifizierungsstelle ein, der im DigiCert Konfigurationsprofil im Feld Name angezeigt wird.
    3. Wählen Sie im Einblendmenü Challenge-Typ die Option Dynamic-DigiCert und anschließend die DigiCert PKI-Instanz aus, die Sie verwenden möchten.
    4. Wählen Sie die Zertifikatprofil-ID und die Platz-ID aus, die Sie für die SCEP-Challenge verwenden möchten.
      Hinweis:

      Die in Jamf Pro auf der Einrichtungsseite für Konfigurationsprofile aufgeführten OIDs beziehen sich auf die Zertifikatprofileinträge im DigiCert PKI Manager. Sie können die OIDs vergleichen, um sicherzustellen, dass die Einstellungen des Konfigurationsprofils korrekt sind und mit den im Eintrag des Zertifikatprofils in DigiCert PKI Manager festgelegten Einstellungen übereinstimmen.

      Jede Kombination aus Zertifikatprofil-ID und Platz-ID kann nur einmal pro Konfigurationsprofil verwendet werden.

      Jede Zertifikatprofil-ID sollte nur einmal pro Konfigurationsprofil verwendet werden. Wenn dieselbe Zertifikatprofil-ID in mehreren Konfigurationsprofile für denselben Gerätetyp verwendet wird, werden Zertifikate möglicherweise fehlerhaft zugewiesen. Sie können jedoch dieselbe Zertifikatprofil-ID in mehreren Konfigurationsprofilen für unterschiedliche Gerätetypen verwenden (z. B. einmal in einem Konfigurationsprofil für Computer und einmal in einem für Mobilgeräte).

      Es empfiehlt sich, als Platz-ID für SCEP-Profile den im Betrefffeld eingetragenen allgemeinen Namen (CN) zu verwenden.

      Je nach den Anforderungen des in DigiCert verwendeten Zertifikatprofils müssen Sie ggf. zusätzliche Einstellungen konfigurieren (z. B. „Schlüssellänge“, „Als digitale Signatur verwenden“ und „Für Schlüsselverschlüsselung verwenden“).

  6. Konfigurieren Sie zusätzliche Payloads für das Profil, um Benutzern den Zugang zu Ressourcen wie VPNs oder WLANs zu erlauben. Je nachdem, für welche Möglichkeit zur Installation des CA-Zertifikats auf den Geräten Sie sich entscheiden, müssen Sie das Zertifikat ggf. einer zusätzlichen Payload als vertrauenswürdiges Zertifikat hinzufügen.
  7. Klicken Sie auf den Tab Bereich und konfigurieren Sie den Anwendungsbereich des Profils. Wenn Ihre PKI so konfiguriert ist, dass Zertifikate automatisch zurückgezogen werden, müssen Sie den Anwendungsbereich des Profils so festlegen, dass die Zertifikate automatisch von Geräten entfernt werden, die aus dem Anwendungsbereich entfernt werden. Weitere Informationen finden Sie unter Zurückziehen von DigiCert Zertifikaten.
  8. Klicken Sie auf Speichern und wählen Sie die Option An alle verteilen aus, wenn die DigiCert Zertifikate an alle Geräte verteilt werden sollen.
    Wichtig:

    Damit DigiCert Zertifikate für ein Gerät ordnungsgemäß ausgestellt werden können, müssen die Bestandsinformationen für den jeweiligen Benutzer vollständig vorliegen. Wenn die Bestandsinformationen für einen Benutzer in Jamf Pro unvollständig sind, enthält das für diesen Benutzer ausgestellte DigiCert Zertifikat für jedes fehlende Attribut den Eintrag „N/A (Nicht verfügbar)“.

  9. Wiederholen Sie den Vorgang für alle in Jamf Pro konfigurierten Konfigurationsprofile, um DigiCert Zertifikate des Managed PKI Dienstes für Computer oder Mobilgeräte auszustellen.

Schritt 4: Kontrollieren der ordnungsgemäßen Ausstellung der DigiCert Zertifikate an Geräte

Um sicherzustellen, dass ein DigiCert Zertifikat ordnungsgemäß für ein Gerät ausgestellt wurde, navigieren Sie zu dem Datensatz des Geräts in Jamf Pro, klicken Sie auf den Tab Verlauf, wechseln Sie zur Kategorie Verwaltungsverlauf und vergewissern Sie sich, dass der Zertifikatprozess erfolgreich abgeschlossen wurde.