SCEP プロトコルを使用した証明書配布
Jamf Pro と Venafi TPP の間の通信を確立すると、Jamf Pro を使用して Venafi を認証局 (CA) とし、構成プロファイルを介してお使いの環境のコンピュータとモバイルデバイスに証明書を配布することができます。
SCEP プロトコルを使用して証明書を配布すると、トラフィックが直接 Venafi TPP に直接送信されます。トラフィックは Jamf Pro を経由したプロキシではありません。これにより、ダイナミックチャレンジおよび自動取り消しの双方によって SCEP ワークフローの証明書のセキュリティが強化されます。
要件
構成プロファイルを配布するための要件が満たされていることを確認するには、Jamf Pro 管理者ガイドの以下のセクションの要件を参照します:
-
Jamf Pro にログインします。
-
コンピュータとモバイルデバイス構成プロファイルを作成:
-
コンピュータ構成プロファイルを作成するには、ページの上部の Computers (コンピュータ) をクリックしてから Configuration Profiles (構成プロファイル) をクリックしてください。
-
モバイルデバイス構成プロファイルを作成するには、ページの上部の Devices (デバイス) をクリックしてから Configuration Profiles (構成プロファイル) をクリックしてください。
-
-
New (新規) をクリックします。
-
一般 Payload を使用し、プロファイルを適用するレベルや配布方法などの基本設定を構成します。選択されたレベルに適用される Payload と設定のみプロファイルに表示されます。
-
SCEP サーバと直接通信行い、CA 証明書を取得できるようにデバイスを有効にするには、SCEP Payload を選択し、Configure (構成) をクリックします。
-
Venafi TPP サーバのホスト名を入力し、「certsrv/macOS」を URL に付加します。例: https://<venafi-hostname>/certsrv/macOS/
-
Name (名前) フィールドの Venafi 構成プロファイルに表示される Certificate Authority (CA) の名称を入力してください。
注: Redistribute Profile (プロファイル再配布) オプションは Venafi では使用できません。
-
Subject (件名) フィールドに適切なキーを入力と値を入力します。
注: PROFILE_IDENTIFIERPayload 変数を使用している場合、件名 フィールドの最初の代入である必要があります。
-
必要に応じて、Subject Alternative Name Type (件名の別名タイプ) を選択します。
-
Challenge Type (チャレンジタイプ) ポップアップメニューから「Dynamic-Venafi」を選択します。
-
使用する Venafi PKI Instance (PKI インスタンス) を選択します。
-
Username (ユーザ名) および Password (パスワード) を入力し、SCEP Admin (SCEP 管理者) ページ (例: https://<venafi-hostname>/certsrv/mscep_admin) にログインします。
注: Venafi TPP のダイナミックチャレンジ設定により、一度に十分なダイナミックチャレンジが可能となり、デバイスが証明書を受け取るための適切な期間を設けることができます。
-
証明書の要求を再試行する場合は、Retries (再試行) および Retry (再試行) Delay (遅延)、Certificate Expiration Notification Threshold (証明書の有効期限通知の閾値) フィールドに値を入力します。
-
Venafi で使用されている証明書プロファイルの要件によっては、追加の設定を構成することが求められることがあります (Key Size (キーサイズ)、Fingerprint (指紋)、Use a digital signature (デジタル署名を使用)、Use for key encipherment (キーの暗号化に使用) など)。
-
Allow export from keychain (キーチェーンからの export を許可) および Allow all apps access (すべての App にアクセスを許可) の各チェックボックスで、ワークフローに対して適切な値を選択します。
-
Scope タブをクリックし、適切なデバイスに対して構成プロファイルの Scope を設定します。
-
Save (保存)をクリックします。