Distribution des certificats à l’aide du protocole SCEP

Une fois la communication entre Jamf Pro et la plateforme TPP de Venafi établie, vous pouvez utiliser Jamf Pro pour distribuer les certificats aux ordinateurs et aux appareils mobiles de votre environnement utilisant des profils de configuration avec Venafi comme autorité de certification (CA).

Lorsque les certificats sont distribués via le protocole SCEP, le trafic passe directement par la plateforme TPP de Venafi. Le trafic ne passe pas par Jamf Pro. Cela permet de renforcer la sécurité de votre certificat dans les workflows SCEP grâce aux challenges dynamiques et à une révocation automatique.

Exigences

Assurez-vous que les exigences relatives à la distribution des profils de configuration sont respectées en contrôlant les exigences mentionnées dans les sections suivantes du Guide de l’administrateur Jamf Pro :

  1. Connectez-vous à Jamf Pro.

  2. Créez un profil de configuration pour un ordinateur ou un appareil mobile :

    1. Pour créer un profil de configuration pour un ordinateur, cliquez sur Ordinateurs en haut de la page, puis sur Profils de configuration.

    2. Pour créer un profil de configuration mobile, cliquez sur Appareils en haut de la page, puis sur Profils de configuration.

  3. Cliquez sur Nouveau.

  4. Utilisez l’entité Général pour configurer les réglages de base, notamment le niveau auquel appliquer le profil et la méthode de distribution. Seuls les réglages et entités qui s'appliquent au niveau sélectionné sont affichés pour le profil.

  5. Pour permettre aux appareils de communiquer directement avec le serveur SCEP afin d’obtenir le certificat CA, sélectionnez l’entité SCEP, puis cliquez sur Configurer.

  6. Saisissez le nom d’hôte du serveur de la plateforme TPP de Venafi et ajoutez « certsrv/macOS » à l’URL. Par exemple : https://<venafi-hostname>/certsrv/macOS/

  7. Saisissez le nom de l’autorité de certification qui apparaît sur le profil de configuration Venafi dans le champ Nom.

    Remarque : L’option Redistribuer le profil n’est pas disponible pour Venafi.

  8. Saisissez les clés et les valeurs appropriées pour le champ Objet.

  9. Sélectionnez un type de nom alternatif du sujet, si nécessaire.

  10. Choisissez « Dynamic-Venafi » dans le menu contextuel Type de challenge.

  11. Sélectionnez l’instance PKI de Venafi que vous voulez utiliser.

  12. Saisissez le nom d’utilisateur et le mot de passe pour vous connecter à la page SCEP Admin (par exemple, https://<venafi-hostname>/certsrv/mscep_admin).

    Remarque : Assurez-vous que les réglages du challenge dynamique dans la plateforme TPP de Venafi autorisent suffisamment de challenges dynamiques à la fois et laissent une durée suffisante pour permettre aux appareils de recevoir un certificat.

  13. Si vous voulez faire une nouvelle tentative de demande de certificat, saisissez les valeurs dans les champs Nouvelles tentatives, Délai avantde réessayer et Seuil de notification de l’expiration d’un certificat.

  14. Selon les exigences du profil de certificat utilisé dans Venafi, vous devrez peut-être configurer des paramètres supplémentaires (par exemple, Taille de la clé, Empreinte digitaleUtiliser une signature numérique et Utiliser pour le cryptage de clé).

  15. Sélectionnez les valeurs appropriées pour votre workflow en définissant les options Autoriser l’exportation à partir du trousseau et Autoriser l’accès pour toutes les apps.

  16. Cliquez sur l’onglet Périmètre et ajoutez les appareils appropriés dans le périmètre du profil de configuration.

  17. Cliquez sur Enregistrer.

Copyright     Politique de confidentialité     Conditions générales     Sécurité
© copyright 2002-2021 Jamf. Tous droits réservés.