Distribution des certificats à l’aide du protocole SCEP

Une fois la communication entre Jamf Pro et la TPP de Venafi établie, vous pouvez utiliser Jamf Pro pour distribuer les certificats aux ordinateurs et aux appareils mobiles de votre environnement utilisant des profils de configuration avec Venafi comme autorité de certification (CA).

Lorsque les certificats sont distribués via le protocole SCEP, le trafic passe directement par la TPP de Venafi. Le trafic ne passe pas par Jamf Pro. Cela permet de renforcer la sécurité de votre certificat dans les workflows SCEP grâce aux challenges dynamiques et à une révocation automatique.

Exigences

Assurez-vous que les exigences relatives à la distribution des profils de configuration sont respectées en contrôlant les exigences mentionnées dans les sections suivantes de la Documentation Jamf Pro :

  1. Dans Jamf Pro, cliquez sur Ordinateurs  ou Appareils en haut de la barre latérale.
  2. Cliquez sur Profils de configuration.
  3. Cliquez sur Nouveau .
  4. Utilisez l’entité Général pour configurer les réglages de base, notamment le niveau auquel appliquer le profil et la méthode de distribution. Seuls les réglages et entités qui s'appliquent au niveau sélectionné sont affichés pour le profil.
  5. Pour permettre aux appareils de communiquer directement avec le serveur SCEP afin d’obtenir le certificat CA, sélectionnez l’entité SCEP, puis cliquez sur Configurer.
  6. Saisissez le nom d’hôte du serveur TPP de Venafi, puis ajoutez « certsrv/macOS » à l’URL (par exemple, https://<nom-hote-venafi>/certsrv/macOS/).
  7. Saisissez le nom de l’autorité de certification qui apparaît sur le profil de configuration Venafi dans le champ Nom.
    Remarque :

    L’option Redistribuer le profil n’est pas disponible pour Venafi.

  8. Saisissez les clés et les valeurs appropriées pour le champ Objet.
    Remarque :

    Si vous utilisez la variable d’entité PROFILE_IDENTIFIER, vous devez la remplacer en premier dans le champ Objet.

  9. Sélectionnez un type de nom alternatif du sujet, si nécessaire.
  10. Choisissez Dynamic-Venafi dans le menu contextuel Type de challenge.
  11. Sélectionnez l’instance PKI de Venafi que vous voulez utiliser.
  12. Saisissez le nom d’utilisateur et le mot de passe pour vous connecter à la page SCEP Admin (par exemple, https://<nom-hote-venafi>/certsrv/mscep_admin).
    Remarque :

    Assurez-vous que les réglages du challenge dynamique dans la plateforme TPP de Venafi autorisent suffisamment de challenges dynamiques à la fois et laissent le temps aux appareils de recevoir un certificat.

  13. Si vous voulez faire une nouvelle tentative de demande de certificat, saisissez les valeurs dans les champs Essais, Délai avant de réessayer et Seuil de notification de l’expiration d’un certificat.
  14. Selon les exigences du profil de certificat utilisé dans Venafi, vous devrez peut-être configurer des réglages supplémentaires (par exemple, Dimension de la clé, Empreinte digitaleUtiliser une signature numérique et Utiliser pour le chiffrement de clé).
  15. Sélectionnez les valeurs appropriées pour votre workflow en définissant les options Autoriser l’exportation à partir du trousseau et Autoriser l’accès pour toutes les apps.
  16. Cliquez sur l’onglet Périmètre et ajoutez les appareils appropriés dans le périmètre du profil de configuration.
  17. Cliquez sur Enregistrer .