Verteilen von Zertifikaten mit dem SCEP-Protokoll
Nachdem die Kommunikation zwischen Jamf Pro und Venafi TPP hergestellt wurde, können Sie Jamf Pro verwenden, um Zertifikate mit Venafi als Zertifizierungsstelle an Computer und Mobilgeräte in Ihrer Umgebung zu verteilen. Hierfür verwenden Sie Konfigurationsprofile.
Wenn Zertifikate mit dem SCEP-Protokoll verteilt werden, wird der Datenverkehr direkt an Venafi TPP und nicht über Jamf Pro als Proxy geleitet. Dies ermöglicht sowohl dynamische Challenges als auch automatischen Widerruf, um Ihre Zertifikatsicherheit in SCEP-Workflows zu verstärken.
Anforderungen
Stellen Sie sicher, dass die Anforderungen für die Verteilung von Konfigurationsprofilen erfüllt sind. Lesen Sie sich dazu die Anforderungen in den folgenden Abschnitten im Jamf Pro Leitfaden für Administratoren durch:
-
Melden Sie sich bei Jamf Pro an.
-
Erstellen Sie ein Konfigurationsprofil für Computer oder Mobilgeräte:
-
Um ein Konfigurationsprofil für Computer zu erstellen, klicken Sie oben auf der Seite auf Computer. Klicken Sie anschließend auf Konfigurationsprofile.
-
Um ein Konfigurationsprofil für Mobilgeräte zu erstellen, klicken Sie oben auf der Seite auf Geräte. Klicken Sie anschließend auf Konfigurationsprofile.
-
-
Klicken Sie auf Neu.
-
Konfigurieren Sie mithilfe der Payload „Allgemein“ die Grundeinstellungen, wie z. B. die Verteilungsmethode und die Ebene, auf der das Profil angewendet werden soll. Es werden nur die Payloads und Einstellungen angezeigt, die für die ausgewählte Anwendungsebene des Profils verfügbar sind.
-
Wenn Geräte zum Abrufen des CA-Zertifikats direkt mit dem SCEP-Server kommunizieren können sollen, wählen Sie die Payload „SCEP“ aus und klicken Sie auf Konfigurieren.
-
Geben Sie den Hostnamen des Venafi TPP Servers ein und hängen Sie „certsrv/macOS“ an die URL an. Beispiel: https://<venafi-hostname>/certsrv/macOS/
-
Geben Sie den Namen der Zertifizierungsstelle ein, der im Venafi Konfigurationsprofil im Feld Name angezeigt wird.
Notiz: Die Option „Profil erneut verteilen“ ist für Venafi nicht verfügbar.
-
Geben Sie die entsprechenden Schlüssel und Werte für das Feld Betreff ein.
Notiz: Fall Sie die Payload-Variable PROFILE_IDENTIFIER verwenden, muss sie die erste Substitution im Feld Betreff sein.
-
Wählen Sie bei Bedarf einen Typ des alternativen Namens des Inhabers.
-
Wählen Sie im Einblendmenü Challenge-Typ die Option „Dynamic-Venafi (Dynamisch-Venafi)“ aus.
-
Wählen Sie die Venafi PKI Instance (PKI-Instanz) aus, die Sie verwenden möchten.
-
Geben Sie den Benutzernamen und das Passwort ein, um sich bei der SCEP Admin Seite (z. B. https://<venafi-hostname>/certsrv/mscep_admin) anzumelden.
Notiz: Stellen Sie sicher, dass die Einstellungen für dynamische Challenges in Venafi TPP genügend dynamische Challenges auf einmal und lange genug zulassen, damit die Geräte ein Zertifikat erhalten.
-
Wenn Sie die Zertifikatanforderung wiederholen möchten, geben Sie Werte in die Felder Wiederholungen und Wiederholungsverzögerung sowie Certificate Expiration Notification Threshold (Schwellenwert für Mitteilung über Zertifikatablauf) ein.
-
Je nach den Anforderungen des von DigiCert verwendeten Zertifikatprofils müssen Sie ggf. zusätzliche Einstellungen konfigurieren (z. B. Schlüssellänge, Fingerabdruck, Als digitale Signatur verwenden und Für Schlüsselverschlüsselung verwenden).
-
Wählen Sie für die Felder Export aus Schlüsselbund zulassen und Zugriff für alle Apps zulassen die für Ihren Workflow passenden Werte.
-
Klicken Sie auf den Tab „Bereich“ und legen Sie den Anwendungsbereich des Konfigurationsprofils auf die entsprechenden Geräte fest.
-
Klicken Sie auf Speichern.