Certificats PKI
Les réglages des certificats PKI vous permettent de gérer l’infrastructure à clé publique nécessaire pour établir la communication entre les ordinateurs ou les appareils mobiles et les autorités de certification (CA). Jamf Pro requiert un PKI qui prend en charge l’authentification par certificat.
Le PKI doit inclure les éléments suivants :
-
Une autorité de certification (CA). Vous pouvez utiliser la CA intégrée, une CA tierce approuvée ou une CA externe prenant en charge SCEP.
-
Un certificat délivré par une autorité de certification (CA)
-
Un certificat de signature
Pour plus d’informations sur le PKI et ses composantes, voir Sécurité.
En outre, vous pouvez utiliser les réglages des certificats PKI pour configurer un jeton web JSON afin de sécuriser les téléchargements internes d’apps et de livres iOS et tvOS en interne. Pour plus d’informations, consultez l’article de la Base de connaissances Configuring a JSON Web Token to Secure Downloads of iOS and tvOS In-House Apps and Books (Configuration d’un jeton web JSON pour sécuriser les téléchargements d’apps et de livres iOS et tvOS en interne).
Affichage et exportation des certificats
Vous pouvez afficher les informations suivantes pour un certificat :
-
Nom de l’objet
-
Numéro de série
-
Nom de l’appareil associé au certificat
-
Nom d’utilisateur associé au certificat
-
Nom de la configuration CA
-
Date/heure d’émission
-
Date/heure d’expiration
-
Statut (Actif ou Inactif)
-
État (Émis, Arrivant à expiration, Expiré ou Révoqué)
-
Profils de configuration associés à un certificat tiers
Lorsque vous affichez la liste des certificats, vous pouvez l’exporter au format .csv, .txt, ou XML.
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
Une liste des CA s’affiche avec le nombre de certificats arrivant à expiration, actifs, inactifs ou avec l’ensemble des certificats pour chaque CA. -
Cliquez sur un nombre dans la colonne Arrivant à expiration, Actif, Inactif ou Tous.
Une liste des certificats correspondants s’affiche. -
Cliquez sur l’objet d’un certificat pour afficher plus de détails sur le certificat correspondant.
Le cas échéant, les détails du certificat incluent la date de la révocation. Pour les certificats CA tiers, tous les profils de configuration associés au certificat s’affichent également. -
(Optionnel) Si vous voulez exporter la liste des certificats affichée à l’étape 5 :
-
Cliquez sur Exporter.
-
Sélectionnez le format du fichier exporté.
-
Cliquez sur Suivant.
-
L'exportation commence immédiatement.
-
Cliquez sur Terminé.
-
La CA intégrée
Aucune configuration n’est nécessaire pour utiliser une CA intégrée de Jamf Pro. La CA intégrée est utilisée par défaut pour envoyer des certificats aux ordinateurs et aux appareils mobiles. Le certificat CA et le certificat de signature sont créés et stockés automatiquement pour vous. Lorsqu’un appareil se connecte à Jamf Pro, il communique avec le serveur SCEP pour obtenir le certificat CA.
Remarque : Si vous ne voulez pas que les ordinateurs ou les appareils mobiles communiquent directement avec un serveur SCEP et que vous utilisez la CA intégrée, vous pouvez activer Jamf Pro en tant que proxy SCEP pour envoyer des certificats d’appareil via des profils de configuration. Pour plus d’informations, consultez le document technique Enabling Jamf Pro as SCEP Proxy (Activation de Jamf Pro en tant que proxy SCEP).
Téléchargement du certificat de la CA intégrée
Le certificat de CA intégrée téléchargé (.pem) peut être utilisé pour établir la confiance avec les autres serveurs ou services. Par exemple, vous pouvez établir la confiance pour IIS sur les serveurs Windows pour les points de distribution HTTPS. Pour plus d’informations, consultez l’article de la Base de connaissances Using IIS to Enable HTTPS Downloads on a Windows Server 2016 or 2019 File Share Distribution Point (Utilisation d’IIS pour activer les téléchargements HTTPS sur un point de distribution de partage de fichiers Windows Server 2016 ou 2019).
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
-
Cliquez sur l’onglet Modèle de certificat de gestion, puis sur CA intégrée.
-
Cliquez sur Télécharger le certificat CA. Le téléchargement du fichier de certificat (.pem) commence.
Le certificat émis par la CA intégrée est également stocké dans le trousseau système dans Keychain Access (Accès au trousseau) sur les ordinateurs Mac en tant que « Autorité de certification intégrée JSS JAMF Software ».
Révocation d’un certificat à partir de la CA intégrée
Avertissement : La révocation d'un certificat interrompt la communication entre Jamf Pro et l'ordinateur ou l’appareil mobile auquel le certificat a été envoyé. Pour restaurer la communication, réenrôlez l’ordinateur ou l’appareil mobile.
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
Une liste des CA s’affiche avec le nombre de certificats arrivant à expiration, actifs, inactifs ou avec l’ensemble des certificats pour chaque CA. -
Cliquez sur un nombre dans la colonne Arrivant à expiration, Actif, Inactif ou Tous.
Une liste des certificats correspondants s’affiche. -
Cliquez sur l’objet d’un certificat pour afficher plus de détails sur le certificat correspondant.
-
Pour révoquer le certificat, cliquez sur Révoquer .
-
Cliquez à nouveau sur Révoquer pour confirmer.
Le statut du certificat passe à « Inactif » et l’état à « Révoqué ».
Remarque : Vous pouvez également afficher l’enregistrement des certificats révoqués dans le fichier jamfsoftwareserver.log. Pour plus d’informations, consultez Journaux de serveur Jamf Pro de ce guide.
Création d’un certificat de CA intégrée à partir d’une CSR
Selon votre environnement, vous devrez peut-être créer un certificat à partir d’une demande de signature de certificat (CSR). Par exemple, vous devrez peut-être le faire si vous utilisez un environnement en cluster avec Tomcat configuré pour travailler derrière un répartiteur de charge.
Remarque : Le certificat créé à partir de la CSR est uniquement destiné à des fins de communication entre Jamf Pro et un ordinateur ou un appareil mobile géré.
Pour créer un certificat à partir d'une CSR, vous avez besoin d'une requête PEM codée en Base64.
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
-
Cliquez sur l’onglet Modèle de certificat de gestion, puis sur CA intégrée.
-
Cliquez sur Créer un certificat à partir de la CSR.
-
Dans le champ CSR, collez la CSR.
Cette requête doit commencer par
----BEGIN CERTIFICATE REQUEST----
et terminer par
----END CERTIFICATE REQUEST---- -
Sélectionnez un type de certificat.
-
Cliquez sur Create (Créer).
Le téléchargement du fichier de certificat (.pem) commence immédiatement.
Création d'une sauvegarde du certificat de la CA intégrée
Il est recommandé de créer une sauvegarde protégée par mot de passe du certificat CA émis par la CA intégrée et de le stocker dans un emplacement sécurisé.
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
-
Cliquez sur l’onglet Modèle de certificat de gestion, puis sur CA intégrée.
-
Cliquez sur Créer une sauvegarde de la CA.
-
Créez et vérifiez un mot de passe pour sécuriser la sauvegarde du certificat de la CA intégrée.
Vous devrez entrer ce mot de passe pour restaurer la sauvegarde du certificat. -
Cliquez sur Créer une sauvegarde.
Le téléchargement du fichier de sauvegarde (.p12) commence immédiatement.
Renouvellement de la CA intégrée
Lors de l’expiration de la CA, certains flux essentiels de Jamf Pro ne fonctionnent plus. Par exemple, si la CA est expirée, l’enrôlement des ordinateurs ou des appareils mobiles empêche leur gestion. Il est recommandé de renouveler la CA intégrée avant sa date d’expiration.
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
-
Cliquez sur un nombre dans la colonne Tous.
Une liste des certificats correspondants s’affiche. -
Cliquez sur le certificat dont l’objet contient « Autorité de certification » pour afficher les détails du certificat.
-
Cliquez sur Renouveler et confirmez le renouvellement.
-
(Optionnel) Vérifiez la nouvelle date d’expiration.
-
Actualisez la page. L’état du renouvellement s’affiche dans les notifications Jamf Pro. De plus, si les notifications par e-mail sont activées pour votre compte, cela déclenche l’envoi d’un e-mail indiquant l’état du processus de renouvellement.
Lorsque la CA intégrée est renouvelée, sa date d’expiration est étendue de 10 ans. Tous les certificats de signature émis par la CA intégrée sont automatiquement renouvelés.
Remarque : Une fois le renouvellement de l’autorité de certification (CA) terminé, l e profil MDM pour les ordinateurs et les appareils mobiles est automatiquement mis dans la file d’attente pour le renouvellement. Lors du prochain check-in des ordinateurs et des appareils mobiles dans Jamf Pro, le profil MDM sera renouvelé et la valeur du champ Date d’expiration du profil MDM dans l’inventaire indiquera la nouvelle date d’expiration. Les certificats d’identité des appareils expireront dans deux ans. Pour contrôler quels profils MDM ne sont pas renouvelés, vous pouvez créer un groupe intelligent d’ordinateurs ou d’appareils mobiles et définir la valeur du critère de recherche Échéance pour le renouvellement du profil MDM sur « Oui ».
Tenez compte des informations suivantes :
-
Le renouvellement de la CA intégrée peut affecter les intégrations qui utilisent la CA intégrée elle-même ou des certificats créés à partir d’un CSR signé par la CA. Ces certificats nécessiteront éventuellement d’être à nouveau émis.
Les intégrations affectées peuvent inclure :-
La configuration du point de distribution de partage de fichiers HTTPS
-
La signature des profils de configuration personnalisés
-
Le plug-in SCCM (System Center Configuration Manager)
-
-
Lorsque la prise en charge d’Apple Éducation est activée dans votre environnement, le renouvellement de la CA intégrée entraîne la redistribution des profils EDU existants. Cela peut augmenter le trafic réseau.
Important : En cas d’échec du renouvellement de la CA intégrée, ne déclenchez pas à nouveau le processus. Si la date d’expiration n’a pas été étendue ou si vous constatez des problèmes avec le renouvellement de la CA, par exemple, si Jamf Pro ne peut pas communiquer avec les ordinateurs ou les appareils mobiles gérés, contactez l’assistance Jamf.
CA tierces
Vous pouvez intégrer Jamf Pro avec des CA tierces approuvées, notamment DigiCert, App ou Active Directory Certificate Services (AD CS). Ces intégrations permettent à une organisation de disposer d’une CA qui contrôle tous les certificats d’identité sur tous les appareils. Utiliser une CA tierce permet aux équipes informatiques d’unifier les rapports sur tous les certificats.
-
DigiCert : Les certificats DigiCert sont gérés dans Jamf Pro à l’aide de la plate-forme DigiCert PKI. Après avoir établi la communication entre Jamf Pro et la plate-forme DigiCert PKI, vous pouvez déployer des certificats sur des ordinateurs ou des appareils mobiles. Pour plus d’informations, consultez le document technique Intégration à DigiCert avec Jamf Pro.
-
Venafi – Les certificats Venafi sont gérés dans Jamf Pro à l’aide de la plate-forme Trust Protection de Venafi. Après avoir établi la communication entre Jamf Pro et la plate-forme Trust Protection de Venafi, vous pouvez déployer des certificats sur des ordinateurs ou des appareils mobiles. Pour plus d’informations, consultez le document technique Intégration à Venafi avec Jamf Pro.
-
AD CS – Après avoir établi la communication avec le fournisseur de PKI, vous pouvez déployer des certificats via les profils de configuration en utilisant AD CS comme CA. Vous pouvez également distribuer les apps internes développées avec le SDK Jamf Certificate pour établir des identités afin de prendre en charge l’authentification par certificat et effectuer une authentification par signature unique (SSO) ou d’autres actions spécifiques à votre environnement. Pour plus d'informations, voir le document technique Integrating with Active Directory Certificate Services (AD CS) Using Jamf Pro (Intégration à Active Directory Certificate Services (AD CS) à l'aide de Jamf Pro).
CA externes
Si vous utilisez une CA organisationnelle ou tierce prenant en charge SCEP, vous pouvez l'utiliser pour envoyer des certificats de gestion aux ordinateurs et aux appareils mobiles. Lorsqu’un appareil se connecte à Jamf Pro, il communique avec le serveur SCEP pour obtenir le certificat.
Remarque : Si vous ne voulez pas que les ordinateurs ou les appareils mobiles communiquent directement avec un serveur SCEP et que vous utilisez une CA externe, vous pouvez utiliser Jamf Pro pour obtenir des certificats de gestion de la part du serveur SCEP et les installer sur les appareils pendant l'enrôlement. Vous pouvez également utiliser Jamf Pro comme proxy SCEP pour envoyer des certificats d’appareil via des profils de configuration. Pour plus d’informations, consultez le document technique Enabling Jamf Pro as SCEP Proxy (Activation de Jamf Pro en tant que proxy SCEP).
L'intégration d'une CA externe à Jamf Pro implique les étapes suivantes :
-
Spécification des réglages SCEP pour la CA externe
-
Upload d’un certificat de signature et d’un certificat CA pour la CA externe
Remarque : Si vous avez besoin d'apporter des modifications à votre CA organisationnelle ou à une CA tierce dans Jamf Pro, il est recommandé de contacter votre représentant de compte Jamf. Les modifications apportées aux réglages des PKI peuvent nécessiter un réenrôlement des appareils mobiles dans votre environnement afin de restaurer la communication approuvée entre le serveur Jamf Pro et les appareils mobiles requis pour la gestion des appareils mobiles (MDM). La préparation d’une modification des réglages des PKI pour la gestion des ordinateurs ou la restauration d’une communication approuvée entre le serveur Jamf Pro et les ordinateurs gérés après la modification des réglages des PKI dans Jamf Pro peut être possible en utilisant les fonctionnalités de règles disponibles dans Jamf Pro. Les règles peuvent être utilisées pour mettre à jour les réglages des certificats de confiance sur les ordinateurs gérés requis pour la MDM.
Spécification des réglages SCEP pour une CA externe
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
-
Cliquez sur l’onglet Modèle de certificat de gestion, puis sur CA externe.
-
Cliquez sur Modifier.
-
Utilisez le volet CA externe pour spécifier les réglages SCEP.
-
Choisissez le type de mot de passe challenge à utiliser dans le menu contextuel Type de challenge :
-
Statique – Si vous voulez que tous les ordinateurs et appareils mobiles utilisent le même mot de passe challenge, choisissez « Statique » et spécifiez un mot de passe challenge. Le mot de passe challenge sera utilisé comme secret prépartagé pour l'enrôlement automatique.
-
Dynamique – Si vous utilisez une CA non Microsoft et que vous voulez que chaque ordinateur et appareil mobile utilise un mot de passe challenge unique, choisissez « Dynamique ». Le type de challenge Dynamique nécessite l'utilisation d’API Classic et l'inscription au programme pour développeurs Jamf. Le challenge Dynamique utilise l’empreinte digitale pour authentifier l'utilisateur au lieu d'un nom d'utilisateur et d'un mot de passe. La valeur de hachage de l'empreinte digitale pour le champ Empreinte digitale dans Jamf Pro figure sur le profil que vous recevez. Avant de sélectionner cette option, contactez votre représentant de compte Jamf pour en savoir plus sur le programme pour développeurs Jamf et les étapes supplémentaires que vous devez suivre pour utiliser cette option.
Remarque : Le type de challenge « Dynamique » nécessite un enrôlement par l’utilisateur pour enrôler les ordinateurs et les appareils mobiles et de n’utiliser qu’un mot de passe challenge unique pour chaque appareil. Pour plus d’informations, voir Enrôlement des ordinateurs à l’initiative de l’utilisateur et Enrôlement des appareils mobiles par l’utilisateur.
-
Dynamic-Microsoft CA – Si vous utilisez une CA Microsoft et que vous voulez que chaque ordinateur et appareil mobile utilise un mot de passe challenge unique, choisissez « Dynamic-Microsoft CA ».
Remarque : Le type de challenge « Dynamic-Microsoft CA » nécessite un enrôlement par l’utilisateur pour enrôler les ordinateurs et les appareils mobiles et de n’utiliser qu’un mot de passe unique pour chaque appareil. Pour plus d’informations, voir Enrôlement des ordinateurs à l’initiative de l’utilisateur et Enrôlement des appareils mobiles par l’utilisateur.
-
Dynamic-Entrust –Si vous utilisez une CA Entrust, choisissez « Dynamic-Entrust ».
Remarque : Si vous activez Jamf Pro comme proxy SCEP et que vous effectuez une intégration à une CA Entrust, des mesures supplémentaires sont nécessaires pour distribuer des certificats via des profils de configuration. Pour plus d’informations, consultez le document technique Enabling Jamf Pro as SCEP Proxy (Activation de Jamf Pro en tant que proxy SCEP).
-
-
Cliquez sur Enregistrer .
Upload de certificats de signature et CA pour une CA externe
Pour intégrer une CA externe à Jamf Pro, vous devez fournir les certificats de signature et les certificats CA pour la CA externe. Pour cela, uploadez un keystore de certificat de signature (.jks ou .p12) contenant les deux certificats vers Jamf Pro. Pour plus d'informations sur la façon d'obtenir et de télécharger un certificat de signature de proxy SCEP à partir d'une CA Microsoft, consultez les articles suivants de la Base de connaissances :
-
Obtaining a SCEP Proxy Signing Certificate from a Microsoft CA Using Terminal and Uploading the Certificate to Jamf Pro (Obtenir un certificat de signature de proxy SCEP d'une CA Microsoft en utilisant Terminal et en uploadant le certificat vers Jamf Pro)
-
Obtaining a SCEP Proxy Signing Certificate from a Microsoft CA Using Command Prompt and Uploading the Certificate to Jamf Pro (Obtenir un certificat de signature de proxy SCEP d'une CA Microsoft en utilisant une invite de commande et en uploadant le certificat vers Jamf Pro)
Remarque : Par défaut, Jamf Pro utilise les certificats de signature et CA pour la CA intégrée à Jamf Pro. Vous devez remplacer ces certificats par ceux de la CA externe lors de la configuration initiale de l'intégration.
-
Connectez-vous à Jamf Pro.
-
Dans l’angle supérieur droit de la page, cliquez sur Réglages .
-
Cliquez sur Gestion globale.
-
Cliquez sur Certificats PKI .
-
Cliquez sur l’onglet Modèle de certificat de gestion, puis sur CA externe.
-
En bas du volet CA externe, cliquez sur Modifier la signature et les certificats CA.
-
Suivez les instructions à l'écran pour uploader la signature et les certificats de la CA externe.
Informations connexes
Pour plus d’informations, consultez les articles suivants de la Base de connaissances :
-
Certificate-Based Authentication for Mac Computers (Authentification par certificat pour ordinateurs Mac)
Découvrez comment Jamf Pro utilise l'authentification par certificat pour vérifier l'identité des ordinateurs Mac. -
Using OpenSSL to Create a Certificate Keystore for Tomcat (Utilisation d'OpenSSL pour créer un keystore de certificats pour Tomcat)
Découvrez comment utiliser OpenSSL pour créer un keystore de certificats que vous pouvez uploader vers Jamf Pro.