Übersicht

Sie können Instanzen von Jamf Pro 10.23.0 oder neuer in Venafi Trust Protection Platform (TPP) integrieren, um Zertifikate zu verwalten. Venafi ist ein Dienstanbieter, der eine einheitliche Oberfläche für zahlreiche Zertifizierungsstellen bereitstellt, über die Zertifikate angefordert, erneuert und zurückgezogen werden können. Venafi fungiert als Zertifikatmanager zwischen Jamf Pro und einem Zertifikatanbieter wie Active Directory Certificate Services (AD CS) und DigiCert.

Für die Integration von Venafi TPP können Sie die PKI-Zertifikate-Einstellungen in Jamf Pro benutzen. Dieses Verfahren erfordert die gleichzeitige Konfiguration von Jamf Pro und Venafi TPP. Beachten Sie, dass aufgrund der für jede Umgebung individuellen Konfiguration ggf. zusätzliche Schritte erforderlich sind.

Für die Integration von Jamf Pro in Venafi TPP müssen Sie die folgenden Schritte ausführen:

  1. Konfigurieren von Venafi TPP

  2. Installieren und Konfigurieren des Jamf PKI Proxy und Konfigurieren der Venafi TPP Einstellungen in Jamf Pro

  3. Erstellen eines Konfigurationsprofils mit einer Zertifikat-Payload in Jamf Pro

Allgemeine Anforderungen

Die folgenden Komponenten sind erforderlich:

  • Jamf PKI Proxy 1.4.0 oder neuer

  • Venafi Trust Protection Platform (TPP)

Vor der Integration von Venafi TPP in Jamf Pro muss Folgendes erfüllt sein:

  • Sie haben den Zugriff auf Venafi TPP konfiguriert und die erforderlichen Venafi TPP Anmeldedaten erhalten. Diese Anmeldedaten müssen die Berechtigung zum Verwalten von Zertifikaten über die Venafi API enthalten.

  • Sie haben eine Richtlinie zum Ausstellen von Zertifikaten konfiguriert.

Hinweis:

Bei der Verwendung von CSRs, die von einem Dienst generiert werden, wird der private Schlüssel in Venafi TPP generiert und gespeichert und dann an den Computer oder das Mobilgerät gesendet. Der private Schlüssel erlaubt das Entschlüsseln von Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden. Außerdem können bei der Verwendung von CSRs, die von einem Dienst generiert wurden, einige der Payload-Einstellungen des Venafi Konfigurationsprofils nicht anwendbar sein.

Die einzige Anforderung an eine Richtlinie in Venafi TPP ist, dass in der Richtlinie ein CA-Vorlage konfiguriert ist. Die Konfigurationsprofil-Payload liefert den Allgemeinen Namen und den Anzeigenamen.

Wichtig:

Um Zertifikate mit einer Venafi Integration ausstellen und zurückziehen zu können, benötigt der auf der Venafi Zertifizierungsstelle konfigurierte Venafi Benutzer die folgenden Berechtigungen in Venafi TPP: View (Anzeigen), Read (Lesen), Write (Schreiben), Create (Erstellen), Revoke (Zurückziehen), Private Key Read (Privaten Schlüssel lesen). Für den Venafi TPP Benutzer muss außerdem Allow WebSDK Access (WebSDK-Zugriff erlauben) in Venafi TPP aktiviert sein.

Kommunikation

Jamf Pro benutzt für die Kommunikation mit Venafi zum Abrufen von Zertifikaten den Jamf PKI Proxy. Jamf Pro kommuniziert mit dem Jamf PKI Proxy mit mTLS v1.2 bis v1.3.