Distribución de certificados usando el protocolo de certificados (API)

Una vez establecida la comunicación entre Jamf Pro y DigiCert PKI Platform, puedes usar Jamf Pro para distribuir certificados con DigiCert como autoridad certificadora (CA) a ordenadores y dispositivos móviles en tu entorno usando perfiles de configuración.

Los certificados no se implementan de forma inmediata. El perfil de configuración se pone en cola para obtener un certificado. Una vez completados el perfil de configuración y la carga útil Certificado, el perfil de configuración se implementará en el dispositivo. El marco temporal para la implementación del certificado depende de la carga del servidor. Por norma general, tiene lugar en 5 minutos o la siguiente vez que se registre el dispositivo.
Nota:

Jamf Pro redistribuye automáticamente el certificado mediante un perfil de configuración 10 días antes de que caduque el certificado. Si el ajuste por omisión de 10 días no satisface tus necesidades, ponte en contacto con Soporte de Jamf.

El procedimiento requiere configurar Jamf Pro y DigiCert PKI Platform simultáneamente. Cada entorno tiene su propia configuración y tal vez sean necesarios otros pasos.

El procedimiento implica los siguientes pasos:

  1. Añadir un perfil de certificado nuevo en DigiCert PKI Platform

  2. Configurar DigiCert como autoridad certificadora en Jamf Pro

  3. Distribuir certificados DigiCert a dispositivos mediante perfiles de configuración
    Nota:

    Los certificados no se implementan de forma inmediata. El perfil de configuración se pone en cola para obtener un certificado. Una vez completados el perfil de configuración y la carga útil Certificado, el perfil de configuración se implementará en el dispositivo. El marco temporal para la implementación del certificado depende de la carga del servidor. Por norma general, tiene lugar en 5 minutos o la siguiente vez que se registre el dispositivo.

  4. Verificación de que los certificados DigiCert se han emitido correctamente a los dispositivos

Paso 1: Añadir un perfil de certificado nuevo en DigiCert PKI Platform

  1. Inicia sesión en DigiCert PKI Platform.
  2. Accede a Settings (Ajustes) > Manage certificate profiles (Gestionar perfiles de certificados).
  3. Haz clic en Add certificate profiles (Añadir perfiles de certificados) para configurar un nuevo perfil de certificado y sigue las instrucciones en pantalla.
  4. Continúa añadiendo perfiles de certificados hasta que se haya creado un perfil para cada certificado DigiCert.

Paso 2: Configurar DigiCert como autoridad certificadora en Jamf Pro

La CA obliga a realizar los siguientes pasos para que el servidor de Jamf Pro pueda realizar solicitudes autenticadas con certificado a la CA como autoridad de registro (RA).

  1. En Jamf Pro, haz clic en Ajustes en la esquina superior derecha de la página.
  2. En la sección Gestión global, haz clic en Certificados PKI .
  3. Haz clic en Configurar nueva autoridad certificadora.
  4. Selecciona «DigiCert» como proveedor de PKI, haz clic en Siguiente y continúa con el asistente de perfiles de certificados de DigiCert.
  5. Copia la CSR de Jamf Pro y haz clic en Siguiente.
  6. Cuando el sistema lo indique, ve al sitio web de DigiCert PKI Platform (https://pki-manager.symauth.com/pki-manager/) y sigue los pasos descritos a continuación:
    1. Introduce tu PIN. Si es necesario, selecciona qué certificado debe usarse para la autenticación.
    2. Accede a Settings (Ajustes) > Get an RA certificate (Obtener un certificado RA).
    3. Pega la CSR copiada de Jamf Pro, introduce un nombre descriptivo para el certificado y haz clic en Continue (Continuar).
    4. Haz clic en Download (Descargar) para descargar el certificado RA de DigiCert generado y haz clic en Done (Hecho).
  7. Abre el archivo del certificado RA descargado (.p7b) en cualquier editor de texto y copia el contenido.
  8. En Jamf Pro, haz clic en Siguiente.
  9. Introduce el «Nombre de la configuración de la CA de DigiCert», pega el certificado RA copiado en el campo Certificado RA copiado de DigiCert y haz clic en Siguiente.
  10. Si quieres revocar certificados automáticamente desde ordenadores o dispositivos móviles, selecciona Activar revocación de certificado automática. Si quieres más información, consulta Revocación de certificados DigiCert.
  11. Haz clic en Hecho.
Si la nueva autoridad certificadora se ha configurado correctamente, aparecerá en la tabla Certificados PKI.

Paso 3: Distribuir certificados DigiCert a dispositivos mediante perfiles de configuración

Una vez añadido DigiCert como CA en Jamf Pro y establecida la comunicación entre Jamf Pro y DigiCert puedes distribuir un certificado con DigiCert como CA utilizando perfiles de configuración en Jamf Pro. Un perfil de configuración permite definir ajustes con los que los ordenadores y dispositivos móviles pueden instalar el certificado de CA y ofrecer a los usuarios acceso a recursos como redes VPN o Wi-Fi.

Puedes usar perfiles de configuración para distribuir el certificado CA directamente a dispositivos con la carga útil Certificado en Jamf Pro.
Nota:

Jamf Pro redistribuye automáticamente el certificado mediante un perfil de configuración 10 días antes de que caduque el certificado. Si el ajuste por omisión de 10 días no satisface tus necesidades, ponte en contacto con Soporte de Jamf.

Requisitos

Para asegurarte de que se cumplen los requisitos de distribución de perfiles de configuración, consulta las siguientes secciones de la Documentación de Jamf Pro:

  1. En Jamf Pro, haz clic en Ordenadores o Dispositivos en la parte superior de la página.
  2. Haz clic en Perfiles de configuración en la barra lateral.
  3. Haz clic en Nuevo .
  4. Usa la carga útil General para configurar ajustes básicos, como el nivel al que se aplica el perfil y el método de distribución. Solo se muestran cargas útiles y ajustes que se aplican al nivel seleccionado.
  5. Selecciona la carga útil Certificado, haz clic en Configurar y haz lo siguiente:
    1. Introduce un nombre visible y selecciona una instancia de DigiCert en el menú emergente Elegir opción de certificado.
    2. Usa los ajustes del panel para especificar la información sobre la CA.
  6. Configura cargas útiles adicionales para el perfil para permitir a los usuarios acceder a recursos como redes VPN o Wi-Fi. En función de cómo permitas a los dispositivos la instalación del certificado de CA, tal vez tengas que añadir el certificado a la carga útil adicional como certificado de confianza.
  7. Haz clic en la pestaña Ámbito y configura el ámbito del perfil. Si tu PKI está configurado para revocar certificados automáticamente, tienes que configurar el ámbito del perfil para que se revoquen automáticamente los certificados de dispositivos situados fuera del ámbito. Si quieres más información, consulta Revocación de certificados DigiCert.
  8. Haz clic en Guardar y selecciona Distribuir a todos si quieres emitir certificados DigiCert para todos los dispositivos.
    Importante:

    La información de inventario de un usuario debe estar completa para emitir correctamente un certificado DigiCert para un dispositivo. Si faltan datos en la información de inventario de un usuario en Jamf Pro, los certificados DigiCert se emitirán con el valor «N/A» para los atributos que falten.

  9. Repite el proceso con todos los perfiles de configuración configurados en Jamf Pro para emitir certificados de servicios PKI gestionados por DigiCert a ordenadores o dispositivos móviles.

Paso 4: Verificación de que los certificados DigiCert se han emitido correctamente a los dispositivos

Para verificar que un certificado DigiCert se ha emitido correctamente a un dispositivo, accede al registro del dispositivo en Jamf Pro, haz clic en la pestaña Historial, abre la categoría Historial de gestión y confirma que el proceso de certificación se ha completado correctamente.