Configuración de certificados para el plug-in Jamf SCCM 3.40 o posterior con una autoridad certificadora de empresa

Este artículo explica cómo crear y configurar un certificado usando una autoridad certificadora de empresa para el plug-in Jamf SCCM 3.40 o posterior.

Hay uno o más certificados que deben configurarse antes de poder instalar el Jamf SCCM Proxy 3.40 o posterior. La siguiente tabla muestra los certificados necesarios y los servidores en los que deben estar:

CertificadoServidor del servicio Jamf SCCM ProxyServidor SCCM
Certificado de proxy de ISV✔ (requiere clave privada)
Cadena de certificados de la CA

Crear un certificado de proxy de ISV mediante una CA de empresa implica los siguientes pasos:

  1. Creación de una plantilla de certificados

  2. Creación de un certificado de proxy de ISV a partir de la plantilla

  3. Copia del certificado de proxy de ISV en el servidor SCCM

  4. Registro del certificado de proxy de ISV con SCCM

Requisitos generales

Configurar certificados para el plug-in Jamf SCCM con una CA empresarial implica crear un certificado de proxy de ISV.

Para ello, necesitas:

  • Una PKI con una CA de terceros (no puede ser la CA integrada en Jamf Pro)

  • Un certificado PKI con un algoritmo de firma SHA-2

  • Un ordenador Windows con el complemento Entidad de Certificación

  • Acceso de consola al servidor SCCM

  • Derechos de administrador para la consola SCCM

Paso 1: Creación de una plantilla de certificados

Requisitos

Para emitir un certificado SHA-256 desde tu CA empresarial, tu CA debe ejecutar Windows Server 2008 o posterior y usar el algoritmo hash SHA-256 por omisión (SHA-256 debe ser el algoritmo hash por omisión de cualquier certificado emitido por tu CA raíz o subordinada). Además, tu CA debe usar el proveedor de CNG (Cryptographic Next Generation, criptografía de nueva generación), y no el de CSP (Cryptographic Storage Provider, proveedor de almacenamiento criptográfico).

  1. En un ordenador Windows con el complemento Entidad de Certificación, abre la autoridad certificadora.
  2. Expande la autoridad certificadora en la barra lateral.
  3. Haz clic derecho en la carpeta Certificate Templates (Plantillas de certificados) y selecciona Manage (Administrar).
  4. En la ventana Template Manager (Administrador de plantillas), haz clic derecho en la plantilla Workstation (Estación de trabajo) y selecciona Duplicate Template (Duplicar plantilla).
  5. En la pestaña Compatibility (Compatibilidad) del cuadro de diálogo que aparece, selecciona Windows Server 2003 o Windows Server 2008 y haz clic en OK (Aceptar).
  6. En la pestaña Cryptography (Criptografía), selecciona la categoría de proveedor Legacy Cryptographic Storage Provider (Proveedor de almacenamiento criptográfico heredado).
    Nota:

    Verifica que el tamaño de clave mínimo es 2.048 y que las solicitudes proceden del siguiente proveedor: Microsoft Enhanced RSA and AES Cryptographic Provider (Proveedor de servicios criptográficos AES y RSA mejorados de Microsoft).

  7. En la pestaña General, introduce un nombre visible para la plantilla y selecciona la casilla Publish certificate in Active Directory (Publicar certificado en Active Directory).
  8. Haz clic en la pestaña Subject Name (Nombre del sujeto) y elige Common name (Nombre común) en el menú desplegable Subject name format (Formato de nombre del sujeto).
  9. Haz clic en la pestaña Security (Seguridad) y comprueba que el usuario que quieres usar para crear el certificado de proxy de ISV tiene permisos de lectura e inscripción. A continuación, haz clic en Aceptar.
  10. Cierra la ventana Template Manager (Administrador de plantillas).
  11. En la herramienta Certification Authority (Autoridad de certificación), haz clic derecho en la carpeta Certificate Templates (Plantillas de certificados) en la barra lateral y selecciona New (Nueva) > Certificate Template to Issue (Plantilla de certificados que emitir).
  12. Elige la plantilla que acabas de crear y haz clic en OK (Aceptar).

Paso 2: Creación de un certificado de proxy de ISV a partir de la plantilla

  1. En el ordenador Windows en el que quieres instalar el Jamf SCCM Proxy Service, abre Microsoft Management Console (MMC).
  2. En la barra de menús, selecciona File (Archivo) > Add/Remove Snap-in (Agregar/eliminar complemento).
  3. Selecciona Certificates (Certificados) en la lista de complementos y haz clic en el botón Add (Agregar).
  4. Selecciona la opción Computer account (Cuenta de equipo). A continuación, haz clic en Next (Siguiente).
  5. Selecciona la opción Local computer (the computer this console is running on) (Equipo local [el ordenador en el que se está ejecutando esta consola]).
  6. Haz clic en Finish (Finalizar), y después en OK (Aceptar). El certificado se muestra debajo de la carpeta Console Root (Raíz de consola) en la barra lateral.
  7. Expande la cabecera «Certificates (Local Computer)» (Certificados [Equipo local]).
  8. Haz clic derecho en la carpeta Personal bajo la cabecera Certificates (Local Computer) y selecciona All Tasks (Todas las tareas) > Request New Certificate (Solicitar certificado nuevo).
  9. Sigue las instrucciones en pantalla y selecciona la casilla adyacente a la plantilla que acabas de crear. A continuación, haz clic en Enroll (Inscribir).
    Nota:

    Si la plantilla no aparece, comprueba que el usuario que estás usando para crear el certificado de proxy de ISV tiene permisos de lectura e inscripción.

    El nuevo certificado se muestra en la lista de certificados.

  10. Haz clic derecho en el nuevo certificado y selecciona Properties (Propiedades).
  11. Introduce un nombre descriptivo para el certificado y haz clic en OK (Aceptar). Se recomienda usar el nombre descriptivo «Jamf SCCM Proxy Certificate» (Certificado de Jamf SCCM Proxy).
  12. Vuelve a hacer clic en OK.
  13. Haz clic derecho en el certificado y selecciona All Tasks (Todas las tareas) > Export (Exportar).
  14. Sigue las instrucciones en pantalla para exportar el certificado como un archivo .cer con codificación DER.

Paso 3: Copia del certificado de proxy de ISV en el servidor SCCM

Si has creado el certificado de proxy de ISV en un servidor que no sea el servidor SCCM, copia el certificado de proxy de ISV (.cer) en el servidor SCCM. Puedes omitir este paso si has creado el certificado de proxy de ISV en el servidor SCCM.

Paso 4: Registro del certificado de proxy de ISV con SCCM

  1. En el servidor SCCM, abre SCCM y haz clic en la categoría Administration (Administración) en la barra lateral.
  2. Expande la carpeta Security (Seguridad).
  3. Haz clic derecho en la cabecera Certificates (Certificados) y selecciona Register or Renew ISV Proxy (Registrar o renovar proxy de ISV).
  4. En el cuadro de diálogo Register or Renew ISV Proxy, selecciona la opción Register certificate for a new ISV proxy (Registrar certificado para un nuevo proxy de ISV) y busca el certificado de proxy de ISV (.cer).
  5. Haz clic en OK (Aceptar) para cerrar el cuadro de diálogo Register or Renew ISV Proxy.
  6. Toma nota del GUID del certificado para el certificado de proxy de ISV. Tendrás que introducirlo cuando instales el Jamf SCCM Proxy Service.
    Nota:

    Si no se muestra la columna «Certificate GUID» (GUID de certificado), haz clic derecho en la cabecera de columnas y selecciona Certificate GUID.