Configuración de certificados para el plug-in Jamf SCCM 3.40 o posterior con una autoridad certificadora independiente

Este artículo explica cómo crear y configurar certificados usando una autoridad certificadora (CA) independiente para el plug-in Jamf SCCM 3.40 o posterior.

Hay uno o más certificados que deben configurarse antes de poder instalar el plug-in Jamf SCCM Proxy 3.40 o posterior. La siguiente tabla muestra los certificados necesarios y los servidores en los que deben estar:

CertificadoServidor del servicio Jamf SCCM ProxyServidor SCCM
Certificado de proxy de ISV✔ (requiere clave privada)
Cadena de certificados de la CA

Crear un certificado de proxy de ISV mediante una CA independiente implica los siguientes pasos:

  1. Descarga y modificación del archivo .inf para crear la solicitud de firma de certificado (CSR)

  2. Creación de la CSR

  3. Envío de la CSR a la CA para crear un certificado

  4. Exportación de la cadena de certificados de la CA

  5. Importación de la cadena de certificados de la CA y del certificado de ISV

  6. Creación de un certificado de proxy de ISV a partir del certificado instalado

  7. Copia del certificado de proxy de ISV en el servidor SCCM

  8. Registro del certificado de proxy de ISV con SCCM

Requisitos generales

Configurar certificados con una CA independiente para el plug-in Jamf SCCM implica crear un certificado de proxy de ISV.

Para ello, necesitas:

  • Una CA independiente que no esté integrada en tu entorno de SCCM

  • Un certificado PKI con un algoritmo de firma SHA-2

  • Un ordenador Windows con el complemento Entidad de Certificación

  • Acceso de consola al servidor SCCM

  • Derechos de administrador para la consola SCCM

Paso 1: Descarga y modificación del archivo .inf para crear la CSR

  1. Descarga el archivo .inf.
  2. En el archivo .inf, modifica las siguientes variables para incluir los ajustes que quieres usar.
    Nota:

    Las variables se indican mediante corchetes dobles ([[ ]]).

    • Subject (Sujeto)Modifica esta variable para incluir el nombre de dominio completo (FQDN) del ordenador host de Jamf SCCM Proxy Service.
    • Friendly Name (Nombre descriptivo)Modifica esta variable de la siguiente manera:
      • Para 3.51 o anterior«JSS SCCM Proxy Certificate»
      • Para 3.60.0 o posterior«Jamf SCCM Proxy Certificate»
    • Provider Name (Nombre de proveedor)Modifica esta variable para incluir el nombre del proveedor de CSP (Cryptographic Service Provider, proveedor de servicios criptográficos) que quieres usar. Ejecuta el siguiente comando para obtener una lista de todos los CSP:
      certutil -csplist
    • Provider Type (Tipo de proveedor)Modifica esta variable para incluir el tipo de CSP que quieres usar. Ejecuta el siguiente comando para obtener una lista de todos los CSP con algoritmos hash compatibles:
      certutil -csplist -v | more

Paso 2: Creación de la CSR

  1. Copia el archivo .inf en el ordenador en el que quieres instalar el Jamf SCCM Proxy Service.
  2. Ejecuta el siguiente comando para crear la CSR:
    certreq -new Standalone-CA-ISV-Request.inf Standalone-CA-ISV-Request.req

Paso 3: Envío de la CSR a la CA para crear un certificado

Sigue los pasos necesarios para crear un certificado.
Nota:

Los pasos necesarios para crear un certificado dependen de tu entorno.

Por ejemplo, si usas una CA de Microsoft independiente, usa pasos parecidos a los siguientes:

  1. Copia el archivo Self-Signed-ISV-Request.req en el servidor de CA.
  2. Ejecuta el siguiente comando para crear el certificado de ISV, seleccionando la CA para firmarlo si el sistema te lo pide:
    certreq -submit Standalone-CA-ISV-Request.req isv.cer
  3. Copia el archivo isv.cer en el ordenador que has usado para crear la CSR y en el que quieres instalar el Jamf SCCM Proxy Service.

Paso 4: Exportación de la cadena de certificados de la CA

  1. Ejecuta el siguiente comando para exportar el certificado de CA usado para firmar el isv.cer:
    certutil -ca.chain ca.cer
  2. Copia el archivo ca.cer en el ordenador en el que quieres instalar el Jamf SCCM Proxy Service.

Paso 5: Importación de la cadena de certificados de la CA y del certificado de ISV

  1. En el ordenador en el que quieres instalar el Jamf SCCM Proxy Service, abre Microsoft Management Console (MMC).
  2. En la barra de menús, selecciona File (Archivo) > Add/Remove Snap-in (Agregar/eliminar complemento).
  3. Selecciona Certificates (Certificados) en la lista de complementos y haz clic en el botón Add (Agregar).

  4. Selecciona la opción Computer account (Cuenta de equipo). A continuación, haz clic en Next (Siguiente).
  5. Selecciona la opción Local computer (the computer this console is running on) (Equipo local [el ordenador en el que se está ejecutando esta consola]).
  6. Haz clic en Finish (Finalizar), y después en OK (Aceptar). El certificado se muestra debajo de la carpeta Console Root (Raíz de consola) en la barra lateral.
  7. Expande la cabecera «Certificates (Local Computer)» (Certificados [Equipo local]).
  8. Expande la cabecera «Trusted Root Certification Authorities» (Autoridades de certificación raíz de confianza).
  9. Haz clic derecho en la carpeta Certificates (Certificados), selecciona All Tasks (Todas las tareas) > Import (Importar) y elige el archivo ca.cer.

  10. Expande la cabecera Personal.
  11. Haz clic derecho en la carpeta Certificates (Certificados), selecciona All Tasks (Todas las tareas) > Import (Importar) y elige el archivo isv.cer.

Paso 6: Creación de un certificado de proxy de ISV a partir del certificado instalado

  1. Haz clic derecho en el certificado que has importado (identificado por el nombre descriptivo) y selecciona All Tasks (Todas las tareas) > Export (Exportar).
  2. Sigue las instrucciones en pantalla para exportar el certificado como un archivo .cer con codificación DER.

Paso 7: Copia del certificado de proxy de ISV en el servidor SCCM

Si has creado el certificado de proxy de ISV en un servidor que no sea el servidor SCCM, copia el certificado de proxy de ISV (.cer) en el servidor SCCM. Puedes omitir este paso si has creado el certificado de proxy de ISV en el servidor SCCM.

Paso 8: Registro del certificado de proxy de ISV con SCCM

  1. En el servidor SCCM, abre SCCM y haz clic en la categoría Administration (Administración) en la barra lateral.
  2. Expande la carpeta Security (Seguridad).
  3. Haz clic en la cabecera Certificates (Certificados) y selecciona Register or Renew ISV Proxy (Registrar o renovar proxy de ISV).

  4. En el cuadro de diálogo Register or Renew ISV Proxy, selecciona la opción Register certificate for a new ISV proxy (Registrar certificado para un nuevo proxy de ISV) y busca el certificado de proxy de ISV (.cer).

  5. Haz clic en OK (Aceptar) para cerrar el cuadro de diálogo Register or Renew ISV Proxy.
  6. Toma nota del GUID del certificado para el certificado de proxy de ISV. Tendrás que introducirlo cuando instales el Jamf SCCM Proxy Service.
    Nota:

    Si no se muestra la columna «Certificate GUID» (GUID de certificado), haz clic derecho en la cabecera de columnas y selecciona Certificate GUID.