Verteilen von Zertifikaten mit dem SCEP-Protokoll

Nachdem die Kommunikation zwischen Jamf Pro und Venafi TPP hergestellt wurde, können Sie Jamf Pro verwenden, um Zertifikate mit Venafi als Zertifizierungsstelle an Computer und Mobilgeräte in Ihrer Umgebung zu verteilen. Hierfür verwenden Sie Konfigurationsprofile.

Wenn Zertifikate mit dem SCEP-Protokoll verteilt werden, wird der Datenverkehr direkt an Venafi TPP und nicht über Jamf Pro als Proxy geleitet. Dies ermöglicht sowohl dynamische Challenges als auch automatischen Widerruf, um Ihre Zertifikatsicherheit in SCEP-Workflows zu verstärken.

Anforderungen

Stellen Sie sicher, dass die Anforderungen für die Verteilung von Konfigurationsprofilen erfüllt sind. Lesen Sie sich dazu die Anforderungen in den folgenden Abschnitten in der Jamf Connect Dokumentation durch:

  1. Klicken Sie oben in der Seitenleiste in Jamf Pro auf Computer oder Geräte .
  2. Klicken Sie auf Konfigurationsprofile.
  3. Klicken Sie auf Neu .
  4. Konfigurieren Sie mithilfe der Payload „Allgemein“ die Grundeinstellungen, wie z. B. die Verteilungsmethode und die Ebene, auf der das Profil angewendet werden soll. Es werden nur die Payloads und Einstellungen angezeigt, die für die ausgewählte Anwendungsebene des Profils verfügbar sind.
  5. Wenn Geräte zum Abrufen des CA-Zertifikats direkt mit dem SCEP-Server kommunizieren können sollen, wählen Sie die Payload „SCEP“ aus und klicken Sie auf Konfigurieren.
  6. Geben Sie den Hostnamen des Venafi TPP Servers ein und hängen Sie „certsrv/macOS“ an die URL an (z. B. https://<venafi-hostname>/certsrv/macOS/).
  7. Geben Sie den Namen der Zertifizierungsstelle ein, der im Venafi Konfigurationsprofil im Feld Name angezeigt wird.
    Hinweis:

    Die Option „Profil erneut verteilen“ ist für Venafi nicht verfügbar.

  8. Geben Sie die entsprechenden Schlüssel und Werte für das Feld Betreff ein.
    Hinweis:

    Falls Sie die Payload-Variable PROFILE_IDENTIFIER verwenden, muss sie die erste Substitution im Feld Betreff sein.

  9. Wählen Sie bei Bedarf einen Typ des alternativen Namens des Inhabers.
  10. Wählen Sie im Einblendmenü Challenge-Typ die Option Dynamic-Venafi (Dynamisch-Venafi) aus.
  11. Wählen Sie die Venafi PKI Instance (PKI-Instanz) aus, die Sie verwenden möchten.
  12. Geben Sie den Benutzernamen und das Passwort ein, um sich bei der SCEP Admin Seite (z. B. https://<venafi-hostname>/certsrv/mscep_admin) anzumelden.
    Hinweis:

    Stellen Sie sicher, dass die Einstellungen für dynamische Challenges in Venafi TPP genügend dynamische Challenges auf einmal und lange genug zulassen, damit die Geräte ein Zertifikat erhalten.

  13. Wenn Sie die Zertifikatanforderung wiederholen möchten, geben Sie Werte in die Felder Wiederholungen und Wiederholungsverzögerung sowie Schwellenwert für die Benachrichtigung über den Ablauf des Zertifikats ein.
  14. Je nach den Anforderungen des von Venafi verwendeten Zertifikatprofils müssen Sie ggf. zusätzliche Einstellungen konfigurieren (z. B. Schlüssellänge, Fingerabdruck, Als digitale Signatur verwenden und Für Schlüsselverschlüsselung verwenden).
  15. Wählen Sie für die Felder Export aus Schlüsselbund zulassen und Zugriff für alle Apps zulassen die für Ihren Workflow passenden Werte.
  16. Klicken Sie auf den Tab Bereich und legen Sie den Anwendungsbereich des Konfigurationsprofils auf die entsprechenden Geräte fest.
  17. Klicken Sie auf Speichern .