Configuration de Jamf PKI Proxy et de la connexion à la plateforme TPP de Venafi

Après avoir installé Jamf PKI Proxy, vous devez configurer les réglages dans Jamf Pro pour activer la communication entre Jamf Pro et la plateforme TPP de Venafi.
Remarque :
Si vous utilisez Docker, la procédure de configuration de Jamf PKI Proxy varie selon que vous utilisez Linux ou Windows :
  • Docker pour LinuxSi vous utilisez Docker pour Linux, remplacez toutes les instances de jamf-pki-proxy dans les commandes ci-dessous par la commande suivante :
    docker run -v ~/.jamf/:/.jamf -v /etc/ssl:/etc/ssl:ro -p 443:443 jamfllc /jamf-pki-proxy:latest
  • Docker Desktop pour Windows avec PowerShellSi vous utilisez Docker Desktop pour Windows, remplacez toutes les instances de jamf-pki-proxy dans les commandes ci-dessous par la commande suivante :
    docker run -v $env:LOCALAPPDATA\Jamf\:/.jamf -p 9443:9443 jamfllc/jamf-pki-proxy:latest

  1. Jamf PKI Proxy devra être configuré sur le serveur sur lequel il a été installé. Exécutez la commande suivante pour afficher les configurations disponibles :
    jamf-pki-proxy config list
    D’autres options de configuration sont disponibles. Pour en savoir plus, exécutez des commandes d’aide similaires à celles-ci :
    jamf-pki-proxy --help
jamf-pki-proxy config --help
jamf-pki-proxy config set --help
  2. Pour définir l’hôte du serveur de la plateforme TPP Venafi, exécutez une commande similaire à la commande suivante :
    jamf-pki-proxy config set --venafi-host venafi.example.com
    Remarque :

    L’hôte du serveur de la plateforme TPP de Venafi doit correspondre à un nom de domaine entièrement qualifié. Il n’est pas recommandé d’utiliser une adresse IP.

  3. Connectez-vous à Jamf Pro.
  4. Dans Jamf Pro, cliquez sur Réglages dans l’angle supérieur droit de la page.
  5. Dans la section Gestion globale, cliquez sur Certificats PKI .
  6. Dans l’onglet Autorités de certification, cliquez sur Configurer une nouvelle autorité de certification.
  7. Sélectionnez Venafi, puis cliquez sur Suivant.
  8. Saisissez un nom pour la configuration de la CA Venafi, puis cliquez sur Enregistrer et continuer.
  9. Dans le volet Configurer Jamf PKI ProxyJamf dans Jamf Pro, téléchargez le fichier de certificat .pem.

    Le fichier .pem contient une clé publique utilisée pour l’authentification mutuelle entre Jamf PKI Proxy et Jamf Pro.

    Remarque :

    Si vous quittez l’assistant, votre progression sera enregistrée. Vous pouvez revenir à cette CA nouvellement créée plus tard, si besoin, et y apporter les modifications nécessaires.

  10. Renommez le fichier .pem en .pem et placez-le dans le répertoire suivant dans l’hôte Jamf PKI Proxy :

    • Linux : ~/.jamf

    • Windows : C:\Users\<user>\AppData\Local\Jamf

  11. Configurez le certificat pour Jamf PKI Proxy.

    Pour établir une communication mTLS avec Jamf Pro, Jamf PKI Proxy a besoin d’une clé publique et d’une clé privée, qui devront être nommées pub.pem et key.pem, respectivement. Il est recommandé d’utiliser un certificat délivré par une CA externe de confiance.

    Si vous obtenez les certificats depuis une CA externe, ils doivent être au format PKCS8. Vous devez fournir une version déchiffrée de la clé privée pour key.pem. La commande permettant de déchiffrer la clé privée est la suivante :

    openssl rsa -in /path/to/encrypted-private-key.pem -out /path/to/key.pem

    Si vous ne pouvez pas obtenir de certificat délivré par une CA externe de confiance, une autre option consiste à générer un certificat autosigné. Pour générer un certificat autosigné, exécutez la commande suivante sous Linux ou Windows :

    ./jamf-pki-proxy certificate generate --hostname host
    Remarque :

    • L’élément <host> doit correspondre à un nom de domaine entièrement qualifié. Il n’est pas recommandé d’utiliser une adresse IP.

    • Le certificat peut être délivré par un organisme externe ou autosigné. Dans les répertoires suivants, les autorisations de tous les fichiers .pem doivent être fixées à 600 :

      • Linux : ~/.jamf

      • Windows : C:\Users\user\AppData\Local\Jamf

  12. Après avoir installé et configuré Jamf PKI Proxy, revenez au volet Configurer Jamf PKI Proxy dans Jamf Pro, puis cliquez sur Suivant.
  13. Dans les réglages de la CA Venafi, cliquez sur Modifier.
  14. Dans le champ Adresse de Jamf PKI Proxy, saisissez l’adresse de l’hôte.
  15. Si vous ne voulez pas révoquer automatiquement les certificats, décochez la case Activer de l’option Révocation de certificat automatique.

    Pour plus d’informations, consultez la section « Révocation du certificat Venafi » dans le document technique Intégration à Venafi avec Jamf Pro.

  16. Laissez le champ Clé publique Jamf Pro tel quel.

    La clé publique Jamf Pro est le fichier .pem que vous avez téléchargé plus tôt. Les boutons Télécharger et Redistribuer ne sont pas nécessaires pour la configuration initiale.

  17. Dans le champ Clé publique de Jamf PKI Proxy, uploadez le fichier pub.pem de clé publique dans Jamf Pro.

    L’élément pub.pem se trouve sur le serveur hôte Jamf PKI Proxy, aux emplacements suivants :

    • Linux : ~/.jamf

    • Windows : C:\Users\user\AppData\Local\Jamf

  18. Dans la section Identifiants de la plateforme Trust Protection de Venafi, sélectionnez parmi les méthodes d’authentification suivantes celle qui correspond à la version de la plateforme TPP de Venafi que vous utilisez :
    • Authentification par jetonCoordonnez-vous avec votre administrateur de la plateforme TPP de Venafi pour créer l’intégration de l’API et obtenir les données nécessaires à l’intégration. Le périmètre de l’intégration de l’API doit être certificate:manage,revoke. Une fois que vous disposez des valeurs nécessaires, saisissez-les dans Jamf Pro comme suit :
      • Identifiant clientSelon votre configuration, renseignez le champ Identifiant d’application de l’intégration de l’API, ou saisissez la valeur access_token.
      • Jeton d’actualisation VenafiSaisissez la valeur refresh_token.
    • Authentification par nom d’utilisateur et mot de passeSaisissez le nom d’utilisateur et le mot de passe appropriés pour la plateforme TPP de Venafi.
  19. Cliquez sur Enregistrer.
  20. Accédez à l’hôte de Jamf PKI Proxy et exécutez la commande suivante pour démarrer le service :
    jamf-pki-proxy start
    Remarque :
    Vous pouvez aussi lancer Jamf PKI Proxy et écouter sur un port autre que celui configuré en exécutant la commande suivante :
    jamf-pki-proxy start --proxy-listener :443
  21. Dans Jamf Pro, actualisez la page des réglages de Venafi pour tester la connexion.
Une bannière contenant les résultats du test de connexion s’affiche alors en haut de la page.
Remarque :

La connexion est automatiquement testée lorsque vous effectuez l’une des opérations suivantes :

  • Accédez à la page à partir d’une autre page.

  • Pour arrêter les modifications, cliquez sur Enregistrer ou Annuler.

  • Actualisez la page en lecture seule.

En haut de la page, les bannières d’information affichent le statut actuel de la connexion.