Distribución de certificados usando el protocolo SCEP

Una vez establecida la comunicación entre Jamf Pro y DigiCert PKI Platform, puedes usar Jamf Pro para distribuir certificados con DigiCert como autoridad certificadora (CA) a ordenadores y dispositivos móviles en tu entorno usando perfiles de configuración.

Cuando los certificados se distribuyen usando el protocolo SCEP, el tráfico va directamente a DigiCert PKI Platform. El tráfico no pasa por Jamf Pro. Esto permite tanto desafíos dinámicos como revocación automática para reforzar la seguridad de los certificados en procesos SCEP.

El procedimiento implica los siguientes pasos:

  1. Añadir un perfil de certificado nuevo en DigiCert PKI Platform

  2. Configurar DigiCert como autoridad certificadora en Jamf Pro

  3. Distribuir certificados DigiCert a dispositivos mediante perfiles de configuración

  4. Verificación de que los certificados DigiCert se han emitido correctamente a los dispositivos

Paso 1: Añadir un perfil de certificado nuevo en DigiCert PKI Platform

  1. Inicia sesión en DigiCert PKI Platform.
  2. Accede a Settings (Ajustes) > Manage certificate profiles (Gestionar perfiles de certificados).
  3. Haz clic en Add certificate profiles (Añadir perfiles de certificados) para configurar un nuevo perfil de certificado y sigue las instrucciones en pantalla.
  4. Continúa añadiendo perfiles de certificados hasta que se haya creado un perfil para cada certificado DigiCert.

Paso 2: Configurar DigiCert como autoridad certificadora en Jamf Pro

La CA obliga a realizar los siguientes pasos para que el servidor de Jamf Pro pueda realizar solicitudes autenticadas con certificado a la CA como autoridad de registro (RA).

  1. En Jamf Pro, haz clic en Ajustes en la esquina superior derecha de la página.
  2. En la sección Gestión global, haz clic en Certificados PKI .
  3. Haz clic en Configurar nueva autoridad certificadora.
  4. Selecciona «DigiCert» como proveedor de PKI, haz clic en Siguiente y continúa con el asistente de perfiles de certificados de DigiCert.
  5. Copia la CSR de Jamf Pro y haz clic en Siguiente.
  6. Cuando el sistema lo indique, ve al sitio web de DigiCert PKI Platform (https://pki-manager.symauth.com/pki-manager/) y sigue los pasos descritos a continuación:
    1. Introduce tu PIN. Si es necesario, selecciona qué certificado debe usarse para la autenticación.
    2. Accede a Settings (Ajustes) > Get an RA certificate (Obtener un certificado RA).
    3. Pega la CSR copiada de Jamf Pro, introduce un nombre descriptivo para el certificado y haz clic en Continue (Continuar).
    4. Haz clic en Download (Descargar) para descargar el certificado RA de DigiCert generado y haz clic en Done (Hecho).
  7. Abre el archivo del certificado RA descargado (.p7b) en cualquier editor de texto y copia el contenido.
  8. En Jamf Pro, haz clic en Siguiente.
  9. Introduce el «Nombre de la configuración de la CA de DigiCert», pega el certificado RA copiado en el campo Certificado RA copiado de DigiCert y haz clic en Siguiente.
  10. Si quieres revocar certificados automáticamente desde ordenadores o dispositivos móviles, selecciona Activar revocación de certificado automática. Si quieres más información, consulta Revocación de certificados DigiCert.
  11. Haz clic en Hecho.
Si la nueva autoridad certificadora se ha configurado correctamente, aparecerá en la tabla Certificados PKI.

Paso 3: Distribuir certificados DigiCert a dispositivos mediante perfiles de configuración

Una vez añadido DigiCert como CA en Jamf Pro y establecida la comunicación entre Jamf Pro y DigiCert puedes distribuir un certificado con DigiCert como CA utilizando perfiles de configuración en Jamf Pro. Un perfil de configuración permite definir ajustes con los que los ordenadores y dispositivos móviles pueden instalar el certificado de CA y ofrecer a los usuarios acceso a recursos como redes VPN o Wi-Fi.

Requisitos

Para asegurarte de que se cumplen los requisitos de distribución de perfiles de configuración, consulta las siguientes secciones de la Documentación de Jamf Pro:

  1. En Jamf Pro, haz clic en Ordenadores o Dispositivos en la parte superior de la página.
  2. Haz clic en Perfiles de configuración en la barra lateral.
  3. Haz clic en Nuevo .
  4. Usa la carga útil General para configurar ajustes básicos, como el nivel al que se aplica el perfil y el método de distribución. Solo se muestran cargas útiles y ajustes que se aplican al nivel seleccionado.
  5. Para permitir que los dispositivos se comuniquen directamente con el servidor SCEP para obtener el certificado de CA, selecciona la carga útil SCEP, haz clic en Configurar y sigue los pasos indicados a continuación:
    1. Introduce la URL de inscripción de SCEP proporcionada en el perfil de certificado de DigiCert.
    2. Introduce el nombre de la autoridad certificadora que aparece en el perfil de configuración de DigiCert en el campo Nombre.
    3. Selecciona Dynamic-DigiCert en el menú emergente Tipo de desafío y selecciona la instancia de PKI de DigiCert que quieres usar.
    4. Selecciona el ID de perfil de certificado y el ID de asiento para el desafío SCEP.
      Nota:

      Los OID que aparecen en la página de configuración de perfiles de configuración de Jamf Pro son los OID de los registros de perfiles de certificado de DigiCert PKI Manager. Puedes comparar los OID para asegurarte de que los ajustes de perfiles de configuración son válidos y se corresponden con los ajustes definidos en el registro de perfiles de certificado del DigiCert PKI Manager.

      La combinación de un ID de perfil de certificado y un ID de asiento solo puede usarse una vez con cada perfil de configuración.

      Debes usar un ID de perfil de certificado solo una vez para cada perfil de configuración. La reutilización de un ID de perfil de certificado con diferentes perfiles de configuración del mismo tipo de dispositivo puede provocar errores en la asignación de certificados. Sin embargo, puedes reutilizar el mismo ID de perfil de certificado para perfiles de configuración de diferentes tipos de dispositivo (por ejemplo, un perfil de configuración de ordenador y un perfil de configuración de dispositivo móvil).

      Se recomienda que el ID de asiento utilizado para los perfiles SCEP sea el mismo que el CN utilizado en el campo Asunto.

      En función de los requisitos del perfil de configuración utilizado en DigiCert, tal vez tengas que configurar otros ajustes (como «Tamaño de clave», «Usar como firma digital» o «Usar para la encriptación de claves»).

  6. Configura cargas útiles adicionales para el perfil para permitir a los usuarios acceder a recursos como redes VPN o Wi-Fi. En función de cómo permitas a los dispositivos la instalación del certificado de CA, tal vez tengas que añadir el certificado a la carga útil adicional como certificado de confianza.
  7. Haz clic en la pestaña Ámbito y configura el ámbito del perfil. Si tu PKI está configurado para revocar certificados automáticamente, tienes que configurar el ámbito del perfil para que se revoquen automáticamente los certificados de dispositivos situados fuera del ámbito. Si quieres más información, consulta Revocación de certificados DigiCert.
  8. Haz clic en Guardar y selecciona Distribuir a todos si quieres emitir certificados DigiCert para todos los dispositivos.
    Importante:

    La información de inventario de un usuario debe estar completa para emitir correctamente un certificado DigiCert para un dispositivo. Si faltan datos en la información de inventario de un usuario en Jamf Pro, los certificados DigiCert se emitirán con el valor «N/A» para los atributos que falten.

  9. Repite el proceso con todos los perfiles de configuración configurados en Jamf Pro para emitir certificados de servicios PKI gestionados por DigiCert a ordenadores o dispositivos móviles.

Paso 4: Verificación de que los certificados DigiCert se han emitido correctamente a los dispositivos

Para verificar que un certificado DigiCert se ha emitido correctamente a un dispositivo, accede al registro del dispositivo en Jamf Pro, haz clic en la pestaña Historial, abre la categoría Historial de gestión y confirma que el proceso de certificación se ha completado correctamente.