Distribución de certificados usando el protocolo SCEP

Una vez establecida la comunicación entre Jamf Pro y Venafi TPP, puedes usar Jamf Pro para distribuir certificados con Venafi como autoridad certificadora (CA) a ordenadores y dispositivos móviles en tu entorno usando perfiles de configuración.

Cuando los certificados se distribuyen usando el protocolo SCEP, el tráfico va directamente a Venafi TPP. El tráfico no pasa por Jamf Pro. Esto permite tanto desafíos dinámicos como revocación automática para reforzar la seguridad de los certificados en procesos SCEP.

Requisitos

Para asegurarte de que se cumplen los requisitos de distribución de perfiles de configuración, consulta las siguientes secciones de la Documentación de Jamf Pro:

  1. En Jamf Pro, haz clic en Ordenadores o Dispositivos en la parte superior de la página.
  2. Haz clic en Perfiles de configuración.
  3. Haz clic en Nuevo .
  4. Usa la carga útil General para configurar ajustes básicos, como el nivel al que se aplica el perfil y el método de distribución. Solo se muestran cargas útiles y ajustes que se aplican al nivel seleccionado.
  5. Para permitir que los dispositivos se comuniquen directamente con el servidor SCEP para obtener el certificado de CA, selecciona la carga útil SCEP y haz clic en Configurar.
  6. Introduce el nombre de host del servidor de Venafi TPP y adjunta «certsrv/macOS» a la URL (p. ej., https://<nombre-host-venafi>/certsrv/macOS/).
  7. Introduce el nombre de la autoridad certificadora que aparece en el perfil de configuración de Venafi en el campo Nombre.
    Nota:

    La opción «Redistribuir perfil» no está disponible para Venafi.

  8. Introduce las claves y valores correspondientes en el campo Sujeto.
    Nota:

    Si usas la variable de carga útil PROFILE_IDENTIFIER, debe ser la primera sustitución en el campo Sujeto.

  9. Elige un Tipo de nombre alternativo del sujeto, si es necesario.
  10. Selecciona Dynamic-Venafi (Dinámico-Venafi) en el menú desplegable Tipo de desafío.
  11. Selecciona la Instancia de PKI de Venafi que quieras usar.
  12. Introduce el Nombre de usuario y Contraseña para iniciar sesión en la página «SCEP Admin» (Administrador SCEP) (p. ej., https://<nombrehost-venafi>/certsrv/mscep_admin).
    Nota:

    Asegúrate de que los ajustes de desafío dinámico de Venafi TPP permiten realizar suficientes desafíos dinámicos a la vez y de que haya un tiempo adecuado para que los dispositivos reciban un certificado.

  13. Si quieres reintentar la solicitud de certificado, introduce valores en los campos Reintentos, Tiempo de espera para reintento y Umbral de notificación de la caducidad del certificado.
  14. En función de los requisitos del perfil de certificado utilizado en Venafi, tal vez tengas que configurar otros ajustes (como Tamaño de clave, Huella, Usar como firma digital y Usar para la encriptación de claves).
  15. Configura las casillas Permitir exportar desde el llavero y Permitir el acceso a todas las apps como corresponda en tu entorno.
  16. Haz clic en la pestaña Ámbito y asigna el perfil de configuración al ámbito de los dispositivos oportunos.
  17. Haz clic en Guardar .