Integración con DigiCert utilizando Jamf Pro

Puedes emitir certificados de DigiCert a ordenadores y dispositivos móviles utilizando el certificado o una carga útil SCEP en un perfil de configuración de Jamf Pro.

Nota: La información de inventario de un usuario debe estar completa para emitir correctamente un certificado de DigiCert para un ordenador o dispositivo móvil. Si la información de inventario de un usuario en Jamf Pro es incompleta, los certificados de DigiCert se emitirán con el valor «N/A» para los atributos que falten.

Requisitos

  • Plataforma PKI de DigiCert

  • Un navegador web con la plataforma PKI de DigiCert

  • Certificado de administrador de DigiCert añadido a tu llavero local

  • Certificado push configurado en Jamf Pro

Glosario

  • CA: Autoridad certificadora

  • CN: Nombre común

  • CSR: Solicitud de firma de certificado

  • OID: Identificador de objeto

  • PKI: Infraestructura de clave pública

  • RA: Autoridad de registro

  • SCEP: Simple Certificate Enrollment Protocol

Procedimiento

Este procedimiento requiere la configuración simultánea de Jamf Pro y la plataforma PKI de DigiCert. Cada entorno tiene su propia configuración y tal vez sean necesarios otros pasos.

El procedimiento implica los siguientes pasos:

  1. Añadir un nuevo perfil de certificado de RA a la plataforma PKI de DigiCert.

  2. Configurar una CA en Jamf Pro.

  3. Distribuir certificados a dispositivos usando perfiles de configuración.

    Nota: Los certificados no se implementan de forma inmediata. El perfil de configuración se pone en cola para obtener un certificado. Una vez completados el perfil de configuración y la carga útil Certificado, el perfil de configuración se implementará en el dispositivo. El marco temporal para la implementación del certificado depende de la carga del servidor. Por norma general, tiene lugar en 5 minutos o la siguiente vez que se registre el dispositivo.

  4. Verificar que los certificados DigiCert se han emitido correctamente a los ordenadores.

Paso 1: Añadir un nuevo perfil de certificado a la plataforma PKI de DigiCert

  1. Inicia sesión en la plataforma PKI de DigiCert.

  2. Accede a Settings > Manage certificate profiles (Ajustes > Gestionar perfiles de certificados).

  3. Haz clic en Add certificate profiles (Añadir perfiles de certificados) para configurar un nuevo perfil de certificado y sigue las instrucciones en pantalla.

  4. Continúa añadiendo perfiles de certificados hasta que se haya creado un perfil para cada certificado de DigiCert.

Paso 2: Configurar DigiCert como autoridad certificadora en Jamf Pro

La CA obliga a realizar los siguientes pasos para que el servidor de Jamf Pro pueda realizar solicitudes autenticadas con certificado a la CA como autoridad registrada (RA).

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81939569/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81939569/PKI.png .

  5. Haz clic en Configurar nueva autoridad certificadora.

  6. Selecciona DigiCert como proveedor de PKI, haz clic en Siguiente y continúa con el Asistente de perfiles de certificados de DigiCert.

  7. Copia el CSR de Jamf Pro y haz clic en Siguiente.

  8. Cuando el sistema lo indique, ve al sitio web de la plataforma PKI de DigiCert (https://pki-manager.symauth.com/pki-manager/) y sigue los pasos descritos a continuación:

    1. Introduce tu PIN. Si es necesario, selecciona qué certificado debe usarse para la autenticación.

    2. Accede a Settings > Get an RA certificate (Ajustes > Obtener un certificado RA).

    3. Pega el CSR copiado de Jamf Pro, introduce un nombre sencillo para el certificado y haz clic en Continuar.

    4. Haz clic en Descargar para descargar el certificado RA de DigiCert generado y haz clic en Hecho.

  9. Abre el archivo del certificado RA descargado (.p7b) en cualquier editor de texto y copia el contenido.

  10. En Jamf Pro, haz clic en Siguiente.

  11. Introduce el «Nombre de la configuración de la CA de DigiCert», pega el certificado RA copiado en el campo Certificado RA copiado de DigiCert y haz clic en Siguiente.

  12. Si quieres revocar certificados automáticamente desde ordenadores o dispositivos móviles, selecciona Activar revocación de certificado automática.
    Si quieres más información, consulta Revocación de certificados de DigiCert.

  13. Haz clic en Hecho. Si la nueva autoridad certificadora se ha configurado correctamente, aparecerá en la tabla Certificados PKI.

Paso 3: Distribuir certificados de DigiCert a dispositivos usando perfiles de configuración

Una vez añadido DigiCert como CA en Jamf Pro y establecida la comunicación entre Jamf Pro y DigiCert puedes distribuir un certificado con DigiCert como CA utilizando perfiles de configuración en Jamf Pro. Un perfil de configuración permite definir ajustes con los que los ordenadores y dispositivos móviles pueden instalar el certificado de CA y ofrecer a los usuarios acceso a recursos como redes VPN o Wi-Fi.

Con los perfiles de configuración, puedes permitir a los dispositivos instalar el certificado de CA de las siguientes formas:

  • Distribuir el certificado de CA directamente a los dispositivos: puedes distribuir el certificado de CA directamente a los dispositivos utilizando la carga útil Certificado de Jamf Pro.

  • Permitir a los dispositivos la comunicación con el servidor SCEP: si tu entorno admite el protocolo de inscripción de certificados simple (SCEP), puedes definir ajustes que permitan a los dispositivos la comunicación con tu servidor SCEP para obtener el certificado de CA.

Además, tienes que asegurarte de que se cumplen los requisitos para distribuir perfiles de configuración. Puedes consultar los requisitos en los siguientes apartados de la Guía del administrador de Jamf Connect:

  1. Inicia sesión en Jamf Pro.

  2. Crea un perfil de configuración de dispositivos móviles o de ordenador:

    1. Para crear un perfil de configuración de ordenador, haz clic en Ordenadores en la parte superior de la página y, a continuación, en Perfiles de configuración.

    2. Para crear un perfil de configuración de dispositivo móvil, haz clic en Dispositivos en la parte superior de la página y, a continuación, en Perfiles de configuración.

  3. Haz clic en Nuevo.

  4. Usa la carga útil General para configurar ajustes básicos, como el nivel al que se aplica el perfil y el método de distribución. Solo se muestran cargas útiles y ajustes que se aplican al nivel seleccionado.

  5. Realiza una de las acciones siguientes para configurar cómo obtienen e instalan los dispositivos el certificado de CA:

    1. SCEP: para permitir que los dispositivos se comuniquen directamente con el servidor SCEP para obtener el certificado de CA, selecciona la carga útil SCEP, haz clic en Configurar y sigue los pasos indicados a continuación:

      1. Introduce la URL de inscripción de SCEP proporcionada en el Perfil de certificados de DigiCert.

      2. Introduce el nombre de la autoridad certificadora que aparece en el perfil de configuración de DigiCert en el campo Nombre.

      3. Selecciona«Dynamic-DigiCert» en el menú emergente Tipo de desafío y selecciona la instancia de PKI de DigiCert que quieres usar.

      4. Selecciona el ID de perfil de certificado y el ID de asiento para el desafío SCEP.

        Notas:

        • los OID que aparecen en la página de configuración de Perfiles de configuración de Jamf Pro son los OID de los registros de perfiles de certificado de DigiCert PKI Manager. Puedes comparar los OID para asegurarte de que los ajustes de perfiles de configuración son válidos y se corresponden con los ajustes definidos en el registro de perfiles de certificado del DigiCert PKI Manager.

        • La combinación de un ID de perfil de certificado y un ID de asiento solo puede usarse una vez con cada perfil de configuración.

        • Debes usar un ID de perfil de certificado solo una vez para cada perfil de configuración. La reutilización de un ID de perfil de certificado con diferentes perfiles de configuración del mismo tipo de dispositivo puede provocar errores en la asignación de certificados. Sin embargo, puedes reutilizar el mismo ID de perfil de certificado para perfiles de configuración de diferentes tipos de dispositivo (por ejemplo, un perfil de configuración de ordenador y un perfil de configuración de dispositivo móvil).

        • Se recomienda que el ID de asiento utilizado para los perfiles SCEP sea el mismo que el CN utilizado en el campo Asunto.

        • En función de los requisitos del perfil de configuración utilizado en DigiCert, tal vez tengas que configurar otros ajustes (como Tamaño de clave, Usar como firma digital o Usar para la encriptación de claves).

    2. API (carga útil Certificado): para distribuir el certificado de CA directamente a los dispositivos, selecciona la carga útil Certificado, haz clic en Configurar y sigue estos pasos:

      1. Introduce un nombre visible y selecciona una instancia de DigiCert en el menú emergente Elegir opción de certificado.

      2. Usa los ajustes del panel para especificar la información sobre la CA.

  6. Configura cargas útiles adicionales para el perfil para permitir a los usuarios acceder a recursos como redes VPN o Wi-Fi. En función de cómo permitas a los dispositivos la instalación del certificado de CA, tal vez tengas que añadir el certificado a la carga útil adicional como certificado de confianza.

  7. Haz clic en la pestaña Ámbito y configura el ámbito del perfil. Si tu PKI está configurado para revocar certificados automáticamente, tienes que configurar el ámbito del perfil para que se revoquen automáticamente los certificados de dispositivos situados fuera del ámbito. Si quieres más información, consulta Revocación de certificados de DigiCert.

  8. Haz clic en Guardar y selecciona Distribuir a todos si quieres emitir certificados DigiCert para todos los dispositivos.

    Importante: La información de inventario de un usuario debe estar completa para emitir correctamente un certificado de DigiCert para un dispositivo. Si faltan datos en la información de inventario de un usuario en Jamf Pro, los certificados de DigiCert se emitirán con el valor «N/A» para los atributos que falten.

  9. Repite el proceso con todos los perfiles de configuración configurados en Jamf Pro para emitir certificados de servicios PKI gestionados por DigiCert a ordenadores o dispositivos móviles.

Paso 4: Verificar que los certificados DigiCert se han emitido correctamente a los dispositivos

Para verificar que un certificado DigiCert se ha emitido correctamente a un dispositivo, accede al registro del dispositivo en Jamf Pro, haz clic en la pestaña Historial, abre la categoría Historial de gestión y confirma que el proceso de certificación se ha completado correctamente.

Otras cuestiones

  • Los certificados DigiCert se emiten varias veces a los ordenadores durante la reinscripción de perfiles. Si se elimina un perfil MDM de un ordenador o se elimina ejecutando el comando, sudo jamf removeFramework, los certificados DigiCert activos se emitirán varias veces durante la reinscripción de perfiles.

  • Al configurar la carga útil Wi-Fi en los perfiles de configuración, los certificados DigiCert no aparecerán en «Certificados de confianza».

Copyright     Política de privacidad     Condiciones de uso     Seguridad
© copyright 2002-2021 Jamf. Todos los derechos reservados.