Intégration à DigiCert avec Jamf Pro

Vous pouvez émettre des certificats DigiCert sur des ordinateurs et des appareils mobiles à l’aide de la charge utile du certificat ou du SCEP dans un profil de configuration Jamf Pro.

Remarque : Les données d'inventaire d'un utilisateur doivent être complètes pour qu'un certificat DigiCert puisse être correctement envoyé à un ordinateur ou un appareil mobile. Si les données d’inventaire d’un utilisateur dans Jamf Pro sont incomplètes, les certificats DigiCert seront émis avec la mention « N/A » (non disponible) pour les attributs manquants.

Exigences

  • Plate-forme PKI de DigiCert

  • Navigateur web avec la plate-forme DigiCert PKI

  • Certificat d’administrateur DigiCert ajouté à votre trousseau local

  • Certificat Push configuré dans Jamf Pro

Glossaire

  • CA : Certificate Authority (autorité de certification)

  • CN : Common name (nom commun)

  • CSR : Certificate Signing Request (demande de signature de certificat)

  • OID : Object Identifier (identificateur d’objet)

  • PKI : Public Key Infrastructure (infrastructure à clé publique)

  • RA : Registration Authority (autorité d’enregistrement)

  • SCEP : Simple Certificate Enrollment Protocol (protocole simple d’inscription de certificat)

Procédure

La procédure nécessite la configuration simultanée de Jamf Pro et de la plate-forme DigiCert PKI. Chaque configuration est propre à votre environnement et des étapes supplémentaires peuvent s’avérer nécessaires.

Cette procédure comporte les étapes suivantes :

  1. Ajouter un nouveau profil de certificat RA sur la plate-forme DigiCert PKI.

  2. Configurer une CA dans Jamf Pro.

  3. Distribuer des certificats aux appareils à l’aide de profils de configuration.

    Remarque : Les certificats ne sont pas déployés immédiatement. Le profil de configuration est mis en attente pour obtenir un certificat. Une fois l’entité Certificat et le profil de configuration créés, le profil de configuration sera déployé sur l’appareil. Le délai de déploiement du certificat dépend de la charge du serveur. En général, il est de 5 minutes, ou à la prochaine connexion de l’appareil.

  4. Vérifier que les certificats DigiCert ont été correctement envoyés aux ordinateurs.

Étape 1 : Ajouter un nouveau profil de certificat sur la plate-forme DigiCert PKI.

  1. Connectez-vous à la plate-forme DigiCert PKI.

  2. Accédez à Réglages > Gérer les profils de certificat.

  3. Cliquez sur Ajouter des profils de certificat pour créer un nouveau profil de certificat et suivez les instructions affichées à l’écran.

  4. Continuez à ajouter des profils de certificat jusqu’à ce qu’un profil ait été créé pour chaque certificat DigiCert.

Étape 2 : Configurer DigiCert en tant qu’autorité de certification dans Jamf Pro

Les étapes suivantes sont requises par l’autorité de certification (CA) pour que le serveur Jamf Pro puisse effectuer des requêtes authentifiées par un certificat auprès de la CA en tant qu’autorité d’enregistrement (RA).

  1. Connectez-vous à Jamf Pro.

  2. Dans l’angle supérieur droit de la page, cliquez sur Réglages images/download/thumbnails/81939569/Icon_Settings_Hover.png .

  3. Cliquez sur Gestion globale.

  4. Cliquez sur Certificats PKI images/download/thumbnails/81939569/PKI.png .

  5. Cliquez sur Configurer une nouvelle autorité de certification.

  6. Sélectionnez « DigiCert » comme fournisseur de PKI, cliquez sur Suivant, et continuez avec l’assistant dédié aux profils de certificats DigiCert.

  7. Copiez la CSR de Jamf Pro et cliquez sur Suivant.

  8. Lorsque vous y êtes invité, accédez au site de la plate-forme DigiCert PKI (https://pki-manager.symauth.com/pki-manager/), et suivez ces étapes :

    1. Saisissez votre code PIN. Si nécessaire, choisissez le certificat à utiliser pour l’authentification.

    2. Accédez à Réglages > Obtenir un certificat RA.

    3. Collez la CSR que vous avez copiée à partir de Jamf Pro, saisissez un nom de certificat convivial, puis cliquez sur Continuer.

    4. Cliquez sur Télécharger pour télécharger le certificat DigiCert RA créé, puis cliquez sur Terminé.

  9. Ouvrez le fichier de certificat RA téléchargé (.p7b) dans n’importe quel éditeur de texte et copiez son contenu.

  10. Dans Jamf Pro, cliquez sur Suivant.

  11. Saisissez le nom de configuration de la CA DigiCert, collez le certificat RA copié dans le champ Certificat RA copié depuis DigiCert, et cliquez sur Suivant.

  12. Si vous souhaitez révoquer automatiquement des certificats sur des ordinateurs ou des appareils mobiles, sélectionnez Autoriser la révocation automatique des certificats.
    Pour plus d’informations, voir Révocation des certificats DigiCert.

  13. Cliquez sur Terminé. Si la nouvelle autorité de certification est configurée avec succès, elle sera répertoriée dans le tableau des certificats PKI.

Étape 3 : Distribuer des certificats DigiCert aux appareils à l’aide de profils de configuration

Après avoir ajouté DigiCert en tant que CA à Jamf Pro et établi la communication entre Jamf Pro et DigiCert, vous pouvez distribuer un certificat avec DigiCert en tant que CA en utilisant les profils de configuration dans Jamf Pro. Un profil de configuration vous permet de définir des réglages qui permettent aux ordinateurs et aux appareils mobiles d’installer le certificat CA, et d’autoriser les utilisateurs à accéder aux ressources telles qu’un VPN ou le Wi-Fi.

À l’aide des profils de configuration, vous pouvez autoriser les appareils à installer le certificat de la CA des manières indiquées ci-dessous.

  • Distribuer le certificat de la CA directement aux appareils : vous pouvez distribuer le certificat de la CA directement aux appareils à l’aide de la charge utile du certificat dans Jamf Pro.

  • Autoriser les appareils à communiquer avec le serveur SCEP : si votre environnement prend en charge le protocole SCEP (Simple Certificate Enrollment Protocol), vous pouvez définir des réglages permettant aux appareils de communiquer avec votre serveur SCEP pour obtenir le certificat CA.

En outre, assurez-vous que les conditions requises pour la distribution des profils de configuration sont remplies. Consultez les conditions exigées dans les sections suivantes du Guide de l’administrateur Jamf Pro :

  1. Connectez-vous à Jamf Pro.

  2. Créez un profil de configuration pour un ordinateur ou un appareil mobile :

    1. Pour créer un profil de configuration pour un ordinateur, cliquez sur Ordinateurs en haut de la page, puis sur Profils de configuration.

    2. Pour créer un profil de configuration mobile, cliquez sur Appareils en haut de la page, puis sur Profils de configuration.

  3. Cliquez sur Nouveau.

  4. Utilisez l’entité Général pour configurer les réglages de base, notamment le niveau auquel appliquer le profil et la méthode de distribution. Seuls les réglages et entités qui s'appliquent au niveau sélectionné sont affichés pour le profil.

  5. Effectuez l’une des opérations indiquées ci-dessous pour configurer la manière dont les appareils obtiennent et installent le certificat CA.

    1. SCEP : pour permettre aux appareils de communiquer directement avec le serveur SCEP afin d’obtenir le certificat CA, sélectionnez la charge utile SCEP, cliquez sur Configurer, et suivez les instructions figurant ci-dessous.

      1. Saisissez l’URL d’inscription du SCEP fournie dans le profil de certificat DigiCert.

      2. Saisissez le nom de l’autorité de certification qui apparaît sur le profil de configuration DigiCert dans le champ Nom.

      3. Choisissez « Dynamic-DigiCert » dans le menu contextuel Type de challenge, et sélectionnez l’instance DigiCert PKI que vous souhaitez utiliser.

      4. Choisissez l’ID du profil de certificat et l’ID du poste que vous désirez utiliser pour le challenge SCEP.

        Remarques :

        • Les OID répertoriés dans la page de réglages du profil de configuration de Jamf Pro correspondent aux OID des enregistrements du profil de certificat dans DigiCert PKI Manager. Vous pouvez comparer les OID pour vous assurer que les réglages du profil de configuration sont valides et correspondent à ceux définis dans l’enregistrement du profil de certificat dans DigiCert PKI Manager.

        • L’association d’un ID de profil de certificat et d’un ID de poste ne peut être utilisée qu’une seule fois par profil de configuration.

        • Vous ne devez utiliser un ID de profil de certificat qu’une seule fois pour chaque profil de configuration. La réutilisation d’un ID de profil de certificat pour plusieurs profils de configuration d’un même type d’appareils peut entraîner une affectation incorrecte des certificats. Toutefois, vous pouvez réutiliser le même ID de profil de certificat pour les profils de configuration de différents types d’appareils (par exemple, un profil de configuration d’ordinateur et un profil de configuration d’appareil mobile).

        • Il est recommandé d’utiliser pour les profils SCEP un ID de poste identique au CN figurant dans le champ Objet.

        • Selon les exigences du profil de certificat utilisé dans DigiCert, vous devrez peut-être configurer des paramètres supplémentaires (par exemple, Taille de la clé, Utiliser une signature numérique et Utiliser pour le cryptage de clé).

    2. API (charge utile du certificat ) : pour distribuer le certificat CA directement sur les appareils, sélectionnez la charge utile du certificat, cliquez sur Configurer et procédez comme indiqué ci-dessous.

      1. Saisissez un nom d’affichage, puis choisissez une instance DigiCert dans le menu contextuel Sélectionner une option de certificat.

      2. Utilisez les réglages du volet pour spécifier les informations sur la CA.

  6. Configurez les charges utiles supplémentaires du profil pour permettre aux utilisateurs d’accéder à des ressources telles qu’un VPN ou le Wi-Fi. Selon la façon dont vous autorisez les appareils à installer le certificat CA, vous devrez peut-être ajouter le certificat à la charge utile supplémentaire en tant que certificat approuvé.

  7. Cliquez sur l’onglet Périmètre et configurez le périmètre du profil. Si votre PKI a été configurée pour révoquer automatiquement les certificats, vous devez configurer le périmètre du profil afin que les certificats soient automatiquement révoqués des appareils non inclus dans le périmètre. Pour plus d’informations, voir Révocation des certificats DigiCert.

  8. Cliquez sur Enregistrer et sélectionnez Distribuer à tous si vous souhaitez émettre des certificats DigiCert sur tous les appareils.

    Important : Les données d'inventaire d'un utilisateur doivent être complètes pour qu'un certificat DigiCert puisse être correctement envoyé à un appareil. Si les données d'inventaire d'un utilisateur dans Jamf Pro sont incomplètes, les certificats DigiCert seront émis avec la mention « N/A » (non disponible) pour les attributs manquants.

  9. Répétez le processus pour tous les profils de configuration paramétrés dans Jamf Pro afin d’émettre des certificats de services DigiCert Managed PKI sur des ordinateurs ou des appareils mobiles.

Étape 4 : Vérifier que les certificats DigiCert ont été correctement envoyés aux appareils

Pour vérifier qu’un certificat DigiCert a été correctement envoyé à un appareil, accédez à son enregistrement dans Jamf Pro, cliquez sur l’onglet Historique, ouvrez la catégorie Historique de gestion et confirmez que le processus du certificat a été correctement terminé.

Autres considérations

  • Les certificats DigiCert sont envoyés plusieurs fois aux ordinateurs lors de la réinscription du profil. Si vous supprimez un profil MDM d’un ordinateur ou si vous l’enlevez en exécutant la commande sudo jamf removeFramework, les certificats DigiCert actifs seront émis plusieurs fois lors de la réinscription du profil.

  • Lors de la configuration de la charge utile Wi-Fi dans les profils de configuration, les certificats DigiCert ne s’afficheront pas sous « Certificats approuvés ».

Copyright     Politique de confidentialité     Conditions générales     Sécurité
© copyright 2002-2021 Jamf. Tous droits réservés.