Certificats PKI

Les réglages des certificats PKI vous permettent de gérer l’infrastructure à clé publique nécessaire pour établir la communication entre les ordinateurs ou les appareils mobiles et les autorités de certification (CA). Jamf Pro requiert un PKI qui prend en charge l’authentification par certificat.

Le PKI doit inclure les éléments suivants :

  • Une autorité de certification (CA). Vous pouvez utiliser la CA intégrée, une CA tierce approuvée ou une CA externe prenant en charge SCEP.

  • Un certificat délivré par une autorité de certification (CA)

  • Un certificat de signature

Affichage et exportation des certificats

Vous pouvez afficher les informations suivantes pour un certificat :

  • Nom de l’objet

  • Numéro de série

  • Nom de l’appareil associé au certificat

  • Nom d’utilisateur associé au certificat

  • Nom de la configuration CA

  • Date/heure d’émission

  • Date/heure d’expiration

  • Statut (Actif ou Inactif)

  • État (Émis, Arrivant à expiration, Expiré ou Révoqué)

  • Profils de configuration associés à un certificat tiers

Lorsque vous affichez la liste des certificats, vous pouvez l’exporter au format .csv, .txt, ou XML.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur un chiffre dans la colonne Arrivant à expiration, Actif, Inactif ou Tous d’un certificat CA pour afficher une liste des certificats correspondants.
  4. Cliquez sur l’objet d’un certificat pour afficher plus de détails sur le certificat correspondant.

    Le cas échéant, les détails du certificat incluent la date de la révocation. Pour les certificats CA tiers, tous les profils de configuration associés au certificat s’affichent également.

  5. (Optionnel) Si vous voulez exporter la liste des certificats affichée à l’étape 3 :
    1. Cliquez sur Exporter.
    2. Sélectionnez le format du fichier exporté.
    3. Cliquez sur Suivant.
    4. L'exportation commence immédiatement.
    5. Cliquez sur Terminé.

La CA intégrée

Aucune configuration n’est nécessaire pour utiliser une CA intégrée de Jamf Pro. La CA intégrée est utilisée par défaut pour envoyer des certificats aux ordinateurs et aux appareils mobiles. Le certificat CA et le certificat de signature sont créés et stockés automatiquement pour vous. Lorsqu’un appareil se connecte à Jamf Pro, il communique avec le serveur SCEP pour obtenir le certificat CA.

Remarque :

Si vous ne voulez pas que les ordinateurs ou les appareils mobiles communiquent directement avec un serveur SCEP et que vous utilisez la CA intégrée, vous pouvez activer Jamf Pro en tant que proxy SCEP pour envoyer des certificats d’appareil via des profils de configuration. Pour plus d’informations, consultez le document technique Activation de Jamf Pro en tant que proxy SCEP.

Téléchargement du certificat de la CA intégrée

Le certificat de CA intégrée téléchargé (.pem) peut être utilisé pour établir la confiance avec les autres serveurs ou services. Par exemple, vous pouvez établir la confiance pour IIS sur les serveurs Windows pour les points de distribution HTTPS. Pour plus d’informations, consultez l’article Using IIS to Enable HTTPS Downloads on a Windows Server 2016 or 2019 File Share Distribution Point (Utilisation d’IIS pour activer les téléchargements HTTPS sur un point de distribution de partage de fichiers Windows Server 2016 ou 2019).

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur l'onglet Modèle de certificat de gestion, puis cliquez sur CA intégrée.
  4. Cliquez sur Télécharger le certificat CA. Le téléchargement du fichier de certificat (.pem) commence.

Le certificat émis par la CA intégrée est également stocké dans le trousseau système dans Keychain Access (Accès au trousseau) sur les ordinateurs Mac en tant que « Autorité de certification intégrée JSS JAMF Software ».

Révocation d’un certificat à partir de la CA intégrée

Avertissement :

La révocation d'un certificat interrompt la communication entre Jamf Pro et l'ordinateur ou l’appareil mobile auquel le certificat a été envoyé. Pour restaurer la communication, réenrôlez l’ordinateur ou l’appareil mobile.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Cliquez sur Gestion globale.
  3. Cliquez sur Certificats PKI .

    Une liste des CA s’affiche avec le nombre de certificats arrivant à expiration, actifs, inactifs ou avec l’ensemble des certificats pour chaque CA.

  4. Cliquez sur un nombre dans la colonne Arrivant à expiration, Actif, Inactif ou Tous.

    Une liste des certificats correspondants s’affiche.

  5. Cliquez sur l’objet d’un certificat pour afficher plus de détails sur le certificat correspondant.
  6. Pour révoquer le certificat, cliquez sur Révoquer .
  7. Cliquez sur Révoquer pour confirmer.

    Le statut du certificat passe à Inactif et l’état à Révoqué.

Remarque :

Vous pouvez également afficher l’enregistrement des certificats révoqués dans le fichier jamfsoftwareserver.log. Pour plus d’informations, consultez Journaux de serveur Jamf Pro de ce guide.

Création d’un certificat de CA intégrée à partir d’une CSR

Selon votre environnement, vous devrez peut-être créer un certificat à partir d’une demande de signature de certificat (CSR). Par exemple, vous devrez peut-être le faire si vous utilisez un environnement en cluster avec Tomcat configuré pour travailler derrière un répartiteur de charge.

Remarque :

Le certificat créé à partir de la CSR est uniquement destiné à des fins de communication entre Jamf Pro et un ordinateur ou un appareil mobile géré.

Pour créer un certificat à partir d'une CSR, vous avez besoin d'une requête PEM codée en Base64.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur l'onglet Modèle de certificat de gestion, puis cliquez sur CA intégrée.
  4. Cliquez sur Créer un certificat à partir de la CSR.
  5. Dans le champ CSR, collez la CSR.

    La demande doit commencer par ----BEGIN CERTIFICATE REQUEST---- et se terminer par ----END CERTIFICATE REQUEST----

  6. Sélectionnez un type de certificat.
  7. Cliquez sur Créer.

    Le téléchargement du fichier de certificat (.pem) commence immédiatement.

Création d'une sauvegarde du certificat de la CA intégrée

Il est recommandé de créer une sauvegarde protégée par mot de passe du certificat CA émis par la CA intégrée et de le stocker dans un emplacement sécurisé.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur l'onglet Modèle de certificat de gestion, puis cliquez sur CA intégrée.
  4. Cliquez sur Créer une sauvegarde de la CA.
  5. Créez et vérifiez un mot de passe pour sécuriser la sauvegarde du certificat de la CA intégrée.

    Vous devrez entrer ce mot de passe pour restaurer la sauvegarde du certificat.

  6. Cliquez sur Créer une sauvegarde.

    Le téléchargement du fichier de sauvegarde (.p12) commence immédiatement.

Renouvellement de la CA intégrée

Lors de l’expiration de la CA, certains flux essentiels de Jamf Pro ne fonctionnent plus. Par exemple, si la CA est expirée, l’enrôlement des ordinateurs ou des appareils mobiles empêche leur gestion. Il est recommandé de renouveler la CA intégrée avant sa date d’expiration.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur un nombre dans la colonne Tous.

    Une liste des certificats correspondants s’affiche.

  4. Cliquez sur le certificat dont l’objet contient Autorité de certification pour afficher les détails du certificat.
  5. Cliquez sur Renouveler et confirmez le renouvellement.
  6. (Optionnel) Vérifiez la nouvelle date d’expiration.
  7. Actualisez la page. L’état du renouvellement s’affiche dans les notifications Jamf Pro. De plus, si les notifications par courriel sont activées pour votre compte, cela déclenche l’envoi d’un courriel indiquant l’état du processus de renouvellement.

Lorsque la CA intégrée est renouvelée, sa date d’expiration est étendue de 10 ans. Tous les certificats de signature émis par la CA intégrée sont automatiquement renouvelés.

Remarque :

Une fois le renouvellement de l’autorité de certification (CA) terminé, le profil MDM pour les ordinateurs et les appareils mobiles est automatiquement mis dans la file d’attente pour le renouvellement. Lors du prochain check-in des ordinateurs et des appareils mobiles dans Jamf Pro, le profil MDM sera renouvelé et la valeur du champ Date d’expiration du profil MDM dans l’inventaire indiquera la nouvelle date d’expiration. Les certificats d’identité des appareils expireront dans deux ans. Pour contrôler quels profils MDM ne sont pas renouvelés, vous pouvez créer un groupe intelligent d’ordinateurs ou d’appareils mobiles et définir la valeur du critère de recherche Échéance pour le renouvellement du Profil MDM sur « Oui ».

Tenez compte des informations suivantes :

  • Le renouvellement de la CA intégrée peut affecter les intégrations qui utilisent la CA intégrée elle-même ou des certificats créés à partir d’un CSR signé par la CA. Ces certificats nécessiteront éventuellement d’être à nouveau émis. Les intégrations affectées peuvent inclure :

    • La configuration du point de distribution de partage de fichiers HTTPS

    • La signature des profils de configuration personnalisés

    • Le plug-in SCCM (System Center Configuration Manager)

  • Lorsque la prise en charge d’Apple Éducation est activée dans votre environnement, le renouvellement de la CA intégrée entraîne la redistribution des profils EDU existants. Cela peut augmenter le trafic réseau.

Important :

En cas d’échec du renouvellement de la CA intégrée, ne déclenchez pas à nouveau le processus. Si la date d’expiration n’a pas été étendue ou si vous constatez des problèmes avec le renouvellement de la CA, par exemple, si Jamf Pro ne peut pas communiquer avec les ordinateurs ou les appareils mobiles gérés, contactez l’assistance Jamf.

CA tierces

Vous pouvez intégrer Jamf Pro avec des CA tierces approuvées, notamment DigiCert, App ou Active Directory Certificate Services (AD CS). Ces intégrations permettent à une organisation de disposer d’une CA qui contrôle tous les certificats d’identité sur tous les appareils. Utiliser une CA tierce permet aux équipes informatiques d’unifier les rapports sur tous les certificats.

  • DigiCert

    Les certificats DigiCert sont gérés dans Jamf Pro à l’aide de la plate-forme DigiCert PKI. Après avoir établi la communication entre Jamf Pro et la plate-forme DigiCert PKI, vous pouvez déployer des certificats sur des ordinateurs ou des appareils mobiles. Pour plus d’informations, consultez le document technique Integrating with DigiCert Using Jamf Pro (Intégration à DigiCert avec Jamf Pro).

  • Venafi

    Les certificats Venafi sont gérés dans Jamf Pro à l’aide de la plate-forme Trust Protection de Venafi. Après avoir établi la communication entre Jamf Pro et la plate-forme Trust Protection de Venafi, vous pouvez déployer des certificats sur des ordinateurs ou des appareils mobiles. Pour plus d’informations, consultez le document technique Intégration à Venafi avec Jamf Pro.

  • AD CS

    Après avoir établi la communication avec le fournisseur de PKI, vous pouvez déployer des certificats via les profils de configuration en utilisant AD CS comme CA. Vous pouvez également distribuer les apps internes développées avec le SDK Jamf Certificate pour établir des identités afin de prendre en charge l’authentification par certificat et effectuer une authentification par signature unique (SSO) ou d’autres actions spécifiques à votre environnement. Pour plus d'informations, voir le document technique Integrating with Active Directory Certificate Services (AD CS) Using Jamf Pro (Intégration à Active Directory Certificate Services (AD CS) à l'aide de Jamf Pro).

CA externes

Si vous utilisez une CA organisationnelle ou tierce prenant en charge SCEP, vous pouvez l'utiliser pour envoyer des certificats de gestion aux ordinateurs et aux appareils mobiles. Lorsqu’un appareil se connecte à Jamf Pro, il communique avec le serveur SCEP pour obtenir le certificat.

Remarque :

Si vous ne voulez pas que les ordinateurs ou les appareils mobiles communiquent directement avec un serveur SCEP et que vous utilisez une CA externe, vous pouvez utiliser Jamf Pro pour obtenir des certificats de gestion de la part du serveur SCEP et les installer sur les appareils pendant l'enrôlement. Vous pouvez également utiliser Jamf Pro comme proxy SCEP pour envoyer des certificats d’appareil via des profils de configuration. Pour plus d’informations, consultez le document technique Activation de Jamf Pro en tant que proxy SCEP.

L'intégration d'une CA externe à Jamf Pro implique les étapes suivantes :

  • Spécification des réglages SCEP pour la CA externe

  • Téléversement d’un certificat de signature et d’un certificat CA pour la CA externe

Remarque :

Si vous avez besoin d’apporter des modifications à votre CA organisationnelle ou à une CA tierce dans Jamf Pro, il est recommandé de contacter votre Jamf Customer Success. Les modifications apportées aux réglages des PKI peuvent nécessiter un réenrôlement des appareils mobiles dans votre environnement afin de restaurer la communication approuvée entre le serveur Jamf Pro et les appareils mobiles requis pour la gestion des appareils mobiles (MDM). La préparation d’une modification des réglages des PKI pour la gestion des ordinateurs ou la restauration d’une communication approuvée entre le serveur Jamf Pro et les ordinateurs gérés après la modification des réglages des PKI dans Jamf Pro peut être possible en utilisant les fonctionnalités de règles disponibles dans Jamf Pro. Les règles peuvent être utilisées pour mettre à jour les réglages des certificats de confiance sur les ordinateurs gérés requis pour la MDM.

Spécification des réglages SCEP pour une CA externe

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur l’onglet Modèle de certificat de gestion, puis cliquez sur CA externe.
  4. Cliquez sur Modifier.
  5. Utilisez le volet CA externe pour spécifier les réglages SCEP.
  6. Choisissez le type de mot de passe challenge à utiliser dans le menu contextuel Type de challenge :
    • Statique

      Si vous voulez que tous les ordinateurs et appareils mobiles utilisent le même mot de passe challenge, choisissez Statique et spécifiez un mot de passe challenge. Le mot de passe challenge sera utilisé comme secret prépartagé pour l’enrôlement automatique.

    • Dynamique
      Si vous utilisez une CA non Microsoft et que vous voulez que chaque ordinateur et appareil mobile utilise un mot de passe challenge unique, choisissez Dynamique. Le type de challenge « Dynamique » requiert l’utilisation d’un webhook ou d’un plug-in Service Provider Interface (SPI) Java :
      • Méthode avec le webhook (recommandée)

        Pour plus d’informations sur la méthode avec le webhook, consultez le paragraphe SCEPChallenge de la section « Webhooks » du Portail des développeurs Jamf Pro.

      • Méthode avec le plug-in SPI Java

        La méthode avec le plug-in SPI Java ne fonctionne qu’avec les installations Jamf Pro sur site. Cette méthode propose les mêmes fonctionnalités que celle avec le webhook, mais elle nécessite d’adhérer au programme pour développeur Jamf. Avant de choisir le type de challenge « Dynamique », contactez votre Customer Success Manager Jamf pour en savoir plus sur le programme pour développeur Jamf et sur les étapes supplémentaires nécessaires pour utiliser cette méthode.

      Remarque :

      Le type de challenge « Dynamique » nécessite un enrôlement par l’utilisateur ou un enrôlement automatisé des appareils pour enrôler les ordinateurs et les appareils mobiles de sorte à utiliser un mot de passe challenge unique pour chaque appareil.

      Pour plus d’informations sur l’enrôlement par l’utilisateur, consultez la section :

      Pour plus d’informations sur l’enrôlement automatisé des appareils, consultez la section :

    • Dynamique - CA Microsoft
      Si vous utilisez une CA Microsoft et que vous voulez que chaque ordinateur et appareil mobile utilise un mot de passe challenge unique, choisissez Dynamique - CA Microsoft.
      Remarque :
    • Dynamique - Entrust
      Si vous utilisez une CA Entrust, choisissez Dynamique - Entrust.
      Remarque :

      Si vous activez Jamf Pro comme proxy SCEP et que vous effectuez une intégration à une CA Entrust, des mesures supplémentaires sont nécessaires pour distribuer des certificats via des profils de configuration. Pour plus d’informations, consultez le document technique Enabling Jamf Pro as SCEP Proxy (Activation de Jamf Pro en tant que proxy SCEP).

  7. Cliquez sur Enregistrer .

Téléversement de certificats de signature et CA pour une CA externe

Pour intégrer une CA externe à Jamf Pro, vous devez fournir les certificats de signature et les certificats CA pour la CA externe. Pour cela, téléversez un keystore de certificat de signature (.jks ou .p12) contenant les deux certificats vers Jamf Pro. Pour plus d'informations sur la façon d'obtenir et de télécharger un certificat de signature de proxy SCEP à partir d'une CA Microsoft, consultez les articles suivants :

Remarque :

Par défaut, Jamf Pro utilise les certificats de signature et CA pour la CA intégrée à Jamf Pro. Vous devez remplacer ces certificats par ceux de la CA externe lors de la configuration initiale de l'intégration.

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur l'onglet Modèle de certificat de gestion, puis cliquez sur CA externe.
  4. En bas du volet CA externe, cliquez sur Modifier le certificat de signature et le certificat CA.
  5. Suivez les instructions à l'écran pour téléverser la signature et les certificats de la CA externe.