Distribution des certificats à l’aide du protocole de certificat (API)

Une fois la communication entre Jamf Pro et la plateforme PKI de DigiCert établie, vous pouvez utiliser Jamf Pro pour distribuer les certificats aux ordinateurs et aux appareils mobiles de votre environnement utilisant des profils de configuration avec DigiCert comme autorité de certification (CA).

Les certificats ne sont pas déployés immédiatement. Le profil de configuration est mis en attente pour obtenir un certificat. Une fois l’entité Certificat et le profil de configuration créés, le profil de configuration sera déployé sur l’appareil. Le délai de déploiement du certificat dépend de la charge du serveur. En général, il est de 5 minutes, ou à la prochaine connexion de l’appareil.
Remarque :

Jamf Pro redistribue automatiquement le certificat via un profil de configuration 10 jours avant son expiration. Si les 10 jours configurés par défaut ne vous conviennent pas, contactez l’assistance Jamf.

La procédure nécessite la configuration simultanée de Jamf Pro et de la plateforme PKI de DigiCert. Chaque configuration est propre à votre environnement et des étapes supplémentaires peuvent s’avérer nécessaires.

Cette procédure comporte les étapes suivantes :

  1. Ajout d’un nouveau profil de certificat dans la plateforme PKI de DigiCert

  2. Configuration de DigiCert en tant qu’autorité de certification dans Jamf Pro

  3. Distribution de certificats DigiCert aux appareils à l’aide de profils de configuration
    Remarque :

    Les certificats ne sont pas déployés immédiatement. Le profil de configuration est mis en attente pour obtenir un certificat. Une fois l’entité Certificat et le profil de configuration créés, le profil de configuration sera déployé sur l’appareil. Le délai de déploiement du certificat dépend de la charge du serveur. En général, il est de 5 minutes, ou à la prochaine connexion de l’appareil.

  4. Vérification du bon envoi des certificats DigiCert aux appareils

Étape 1 : Ajout d’un nouveau profil de certificat dans la plateforme PKI de DigiCert

  1. Connectez-vous à la plateforme PKI de DigiCert.
  2. Accédez à Réglages > Gérer les profils de certificat.
  3. Cliquez sur Ajouter des profils de certificat pour créer un nouveau profil de certificat et suivez les instructions affichées à l’écran.
  4. Continuez à ajouter des profils de certificat jusqu’à ce qu’un profil ait été créé pour chaque certificat DigiCert.

Étape 2 : Configuration de DigiCert en tant qu’autorité de certification dans Jamf Pro

Les étapes suivantes sont requises par l’autorité de certification (CA) pour que le serveur Jamf Pro puisse effectuer des requêtes authentifiées par un certificat auprès de la CA en tant qu’autorité d’enregistrement (RA).

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur Configurer une nouvelle autorité de certification.
  4. Sélectionnez « DigiCert » comme fournisseur de PKI, cliquez sur Suivant, et continuez avec l’assistant dédié aux profils de certificats DigiCert.
  5. Copiez la CSR de Jamf Pro et cliquez sur Suivant.
  6. Lorsque vous y êtes invité, accédez au site de la plateforme PKI de DigiCert (https://pki-manager.symauth.com/pki-manager/), et procédez comme suit :
    1. Saisissez votre code PIN. Si nécessaire, choisissez le certificat à utiliser pour l’authentification.
    2. Accédez à Réglages > Obtenir un certificat RA.
    3. Collez la CSR que vous avez copiée à partir de Jamf Pro, saisissez un nom de certificat convivial, puis cliquez sur Continuer.
    4. Cliquez sur Télécharger pour télécharger le certificat RA DigiCert créé, puis cliquez sur Terminé.
  7. Ouvrez le fichier de certificat RA téléchargé (.p7b) dans n’importe quel éditeur de texte et copiez son contenu.
  8. Dans Jamf Pro, cliquez sur Suivant.
  9. Saisissez le nom de configuration de la CA DigiCert, collez le certificat RA copié dans le champ Certificat RA copié depuis DigiCert, et cliquez sur Suivant.
  10. Si vous souhaitez révoquer automatiquement des certificats sur des ordinateurs ou des appareils mobiles, sélectionnez Autoriser la révocation automatique des certificats. Pour plus d’informations, consultez la section Révocation des certificats DigiCert.
  11. Cliquez sur Terminé.
Si la nouvelle autorité de certification est configurée avec succès, elle sera répertoriée dans le tableau des certificats PKI.

Étape 3 : Distribution de certificats DigiCert aux appareils à l’aide de profils de configuration

Après avoir ajouté DigiCert en tant que CA dans Jamf Pro et établi la communication entre Jamf Pro et DigiCert, vous pouvez distribuer un certificat avec DigiCert en tant que CA en utilisant les profils de configuration dans Jamf Pro. Un profil de configuration vous permet de définir des réglages qui permettent aux ordinateurs et aux appareils mobiles d’installer le certificat CA, et d’autoriser les utilisateurs à accéder aux ressources telles qu’un VPN ou le Wi-Fi.

Vous pouvez utiliser les profils de configuration pour distribuer le certificat CA directement aux appareils utilisant l’entité Certificat dans Jamf Pro.
Remarque :

Jamf Pro redistribue automatiquement le certificat via un profil de configuration 10 jours avant son expiration. Si les 10 jours configurés par défaut ne vous conviennent pas, contactez l’assistance Jamf.

Exigences

Assurez-vous que les exigences relatives à la distribution des profils de configuration sont respectées en contrôlant les exigences mentionnées dans les sections suivantes de la Documentation Jamf Pro :

  1. Dans Jamf Pro, cliquez sur Ordinateurs  ou Appareils en haut de la barre latérale.
  2. Cliquez sur Profils de configuration dans la barre latérale.
  3. Cliquez sur Nouveau .
  4. Utilisez l’entité Général pour configurer les réglages de base, notamment le niveau auquel appliquer le profil et la méthode de distribution. Seuls les réglages et entités qui s'appliquent au niveau sélectionné sont affichés pour le profil.
  5. Sélectionnez l’entité Certificat, cliquez sur Configurer et procédez comme suit :
    1. Saisissez un nom d’affichage, puis choisissez une instance DigiCert dans le menu contextuel Sélectionner l’option de certificat.
    2. Utilisez les réglages du volet pour spécifier les informations sur la CA.
  6. Configurez les charges utiles supplémentaires du profil pour permettre aux utilisateurs d’accéder à des ressources telles qu’un VPN ou le Wi-Fi. Selon la façon dont vous autorisez les appareils à installer le certificat CA, vous devrez peut-être ajouter le certificat à la charge utile supplémentaire en tant que certificat approuvé.
  7. Cliquez sur l’onglet Périmètre et configurez le périmètre du profil. Si votre PKI a été configurée pour révoquer automatiquement les certificats, vous devez configurer le périmètre du profil afin que les certificats soient automatiquement révoqués des appareils non inclus dans le périmètre. Pour plus d’informations, consultez Révocation du certificat DigiCert.
  8. Cliquez sur Enregistrer et sélectionnez Distribuer à tous si vous souhaitez émettre des certificats DigiCert sur tous les appareils.
    Important :

    Les données d’inventaire d’un utilisateur doivent être complètes pour qu’un certificat DigiCert puisse être correctement envoyé à un appareil. Si les données d’inventaire d’un utilisateur dans Jamf Pro sont incomplètes, les certificats DigiCert seront émis avec la mention « N/A » (non disponible) pour les attributs manquants.

  9. Répétez le processus pour tous les profils de configuration configurés dans Jamf Pro afin d’émettre des certificats de services DigiCert Managed PKI sur des ordinateurs ou des appareils mobiles.

Étape 4 : Vérification du bon envoi des certificats DigiCert aux appareils

Pour vérifier qu’un certificat DigiCert a été correctement envoyé à un appareil, accédez à son enregistrement dans Jamf Pro, cliquez sur l’onglet Historique, ouvrez la catégorie Historique de gestion et confirmez que le processus du certificat a été correctement terminé.