Distribution des certificats à l’aide du protocole SCEP

Une fois la communication entre Jamf Pro et la plateforme PKI de DigiCert établie, vous pouvez utiliser Jamf Pro pour distribuer les certificats aux ordinateurs et aux appareils mobiles de votre environnement utilisant des profils de configuration avec DigiCert comme autorité de certification (CA).

Lorsque les certificats sont distribués via le protocole SCEP, le trafic passe directement par la plateforme PKI de DigiCert. Le trafic ne passe pas par Jamf Pro. Cela permet de renforcer la sécurité de votre certificat dans les workflows SCEP grâce aux challenges dynamiques et à une révocation automatique.

Cette procédure comporte les étapes suivantes :

  1. Ajout d’un nouveau profil de certificat dans la plateforme PKI de DigiCert

  2. Configuration de DigiCert en tant qu’autorité de certification dans Jamf Pro

  3. Distribution de certificats DigiCert aux appareils à l’aide de profils de configuration

  4. Vérification du bon envoi des certificats DigiCert aux appareils

Étape 1 : Ajout d’un nouveau profil de certificat dans la plateforme PKI de DigiCert

  1. Connectez-vous à la plateforme PKI de DigiCert.
  2. Accédez à Réglages > Gérer les profils de certificat.
  3. Cliquez sur Ajouter des profils de certificat pour créer un nouveau profil de certificat et suivez les instructions affichées à l’écran.
  4. Continuez à ajouter des profils de certificat jusqu’à ce qu’un profil ait été créé pour chaque certificat DigiCert.

Étape 2 : Configuration de DigiCert en tant qu’autorité de certification dans Jamf Pro

Les étapes suivantes sont requises par l’autorité de certification (CA) pour que le serveur Jamf Pro puisse effectuer des requêtes authentifiées par un certificat auprès de la CA en tant qu’autorité d’enregistrement (RA).

  1. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  2. Dans la section Gestion globale, cliquez sur Certificats PKI .
  3. Cliquez sur Configurer une nouvelle autorité de certification.
  4. Sélectionnez « DigiCert » comme fournisseur de PKI, cliquez sur Suivant, et continuez avec l’assistant dédié aux profils de certificats DigiCert.
  5. Copiez la CSR de Jamf Pro et cliquez sur Suivant.
  6. Lorsque vous y êtes invité, accédez au site de la plateforme PKI de DigiCert (https://pki-manager.symauth.com/pki-manager/), et procédez comme suit :
    1. Saisissez votre code PIN. Si nécessaire, choisissez le certificat à utiliser pour l’authentification.
    2. Accédez à Réglages > Obtenir un certificat RA.
    3. Collez la CSR que vous avez copiée à partir de Jamf Pro, saisissez un nom de certificat convivial, puis cliquez sur Continuer.
    4. Cliquez sur Télécharger pour télécharger le certificat RA DigiCert créé, puis cliquez sur Terminé.
  7. Ouvrez le fichier de certificat RA téléchargé (.p7b) dans n’importe quel éditeur de texte et copiez son contenu.
  8. Dans Jamf Pro, cliquez sur Suivant.
  9. Saisissez le nom de configuration de la CA DigiCert, collez le certificat RA copié dans le champ Certificat RA copié depuis DigiCert, et cliquez sur Suivant.
  10. Si vous souhaitez révoquer automatiquement des certificats sur des ordinateurs ou des appareils mobiles, sélectionnez Autoriser la révocation automatique des certificats. Pour plus d’informations, consultez la section Révocation des certificats DigiCert.
  11. Cliquez sur Terminé.
Si la nouvelle autorité de certification est configurée avec succès, elle sera répertoriée dans le tableau des certificats PKI.

Étape 3 : Distribution de certificats DigiCert aux appareils à l’aide de profils de configuration

Après avoir ajouté DigiCert en tant que CA dans Jamf Pro et établi la communication entre Jamf Pro et DigiCert, vous pouvez distribuer un certificat avec DigiCert en tant que CA en utilisant les profils de configuration dans Jamf Pro. Un profil de configuration vous permet de définir des réglages qui permettent aux ordinateurs et aux appareils mobiles d’installer le certificat CA, et d’autoriser les utilisateurs à accéder aux ressources telles qu’un VPN ou le Wi-Fi.

Exigences

Assurez-vous que les exigences relatives à la distribution des profils de configuration sont respectées en contrôlant les exigences mentionnées dans les sections suivantes de la Documentation Jamf Pro :

  1. Dans Jamf Pro, cliquez sur Ordinateurs  ou Appareils en haut de la barre latérale.
  2. Cliquez sur Profils de configuration dans la barre latérale.
  3. Cliquez sur Nouveau .
  4. Utilisez l’entité Général pour configurer les réglages de base, notamment le niveau auquel appliquer le profil et la méthode de distribution. Seuls les réglages et entités qui s'appliquent au niveau sélectionné sont affichés pour le profil.
  5. Pour permettre aux appareils de communiquer directement avec le serveur SCEP afin d’obtenir le certificat CA, sélectionnez l’entité SCEP, cliquez sur Configurer, et procédez comme suit :
    1. Saisissez l’URL d’enrôlement du SCEP fournie dans le profil de certificat DigiCert.
    2. Saisissez le nom de l’autorité de certification qui apparaît sur le profil de configuration DigiCert dans le champ Nom.
    3. Choisissez Dynamic-DigiCert dans le menu contextuel Type de challenge, et sélectionnez l’instance DigiCert PKI que vous voulez utiliser.
    4. Choisissez l’identifiant du profil de certificat et l’ID du poste que vous désirez utiliser pour le challenge SCEP.
      Remarque :

      Les OID répertoriés dans la page des réglages du profil de configuration de Jamf Pro correspondent aux OID des enregistrements du profil de certificat dans DigiCert PKI Manager. Vous pouvez comparer les OID pour vous assurer que les réglages du profil de configuration sont valides et correspondent à ceux définis dans l’enregistrement du profil de certificat dans DigiCert PKI Manager.

      L’association d’un identifiant de profil de certificat et d’un ID de poste ne peut être utilisée qu’une seule fois par profil de configuration.

      Vous ne devez utiliser un identifiant de profil de certificat qu’une seule fois pour chaque profil de configuration. La réutilisation d’un identifiant de profil de certificat pour plusieurs profils de configuration d’un même type d’appareils peut entraîner une affectation incorrecte des certificats. Toutefois, vous pouvez réutiliser le même identifiant de profil de certificat pour les profils de configuration de différents types d’appareils (par exemple, un profil de configuration d’ordinateur et un profil de configuration d’appareil mobile).

      Pour les profils SCEP, il est recommandé d’utiliser un ID du siège identique au nom commun figurant dans le champ Objet.

      Selon les exigences du profil de certificat utilisé dans DigiCert, vous devrez peut-être configurer des réglages supplémentaires (par exemple, Dimension de la clé, Utiliser une signature numérique et Utiliser pour le chiffrement de clé).

  6. Configurez les charges utiles supplémentaires du profil pour permettre aux utilisateurs d’accéder à des ressources telles qu’un VPN ou le Wi-Fi. Selon la façon dont vous autorisez les appareils à installer le certificat CA, vous devrez peut-être ajouter le certificat à la charge utile supplémentaire en tant que certificat approuvé.
  7. Cliquez sur l’onglet Périmètre et configurez le périmètre du profil. Si votre PKI a été configurée pour révoquer automatiquement les certificats, vous devez configurer le périmètre du profil afin que les certificats soient automatiquement révoqués des appareils non inclus dans le périmètre. Pour plus d’informations, consultez Révocation du certificat DigiCert.
  8. Cliquez sur Enregistrer et sélectionnez Distribuer à tous si vous souhaitez émettre des certificats DigiCert sur tous les appareils.
    Important :

    Les données d’inventaire d’un utilisateur doivent être complètes pour qu’un certificat DigiCert puisse être correctement envoyé à un appareil. Si les données d’inventaire d’un utilisateur dans Jamf Pro sont incomplètes, les certificats DigiCert seront émis avec la mention « N/A » (non disponible) pour les attributs manquants.

  9. Répétez le processus pour tous les profils de configuration configurés dans Jamf Pro afin d’émettre des certificats de services DigiCert Managed PKI sur des ordinateurs ou des appareils mobiles.

Étape 4 : Vérification du bon envoi des certificats DigiCert aux appareils

Pour vérifier qu’un certificat DigiCert a été correctement envoyé à un appareil, accédez à son enregistrement dans Jamf Pro, cliquez sur l’onglet Historique, ouvrez la catégorie Historique de gestion et confirmez que le processus du certificat a été correctement terminé.