概要
証明書を管理する手段として、Jamf Pro 10.23.0 以降のインスタンスを Venafi Trust Protection Platform (TPP) と統合できます。Venafi (ベナファイ) は、証明書の要求、更新、取り消しなどを可能にし、多くの認証局に単一のインターフェースを提供するサービスプロバイダです。Venafi (ベナファイ) は、Jamf Pro と証明書プロバイダ (Active Directory 証明書サービス (AD CS) や DigiCert など) の間の証明書マネージャとして機能します。
Jamf Pro の PKI 証明書設定を使用し、Venafi TPP と統合できます。この手順では、Jamf Pro と Venafi TPP を同時に構成する必要があります。各構成はご使用の環境に対して一意であり、追加のステップが必要となる可能性があることにご注意ください。
Jamf Pro を Venafi TPP に統合するには、以下の手順を実行します。
Venafi TPP を構成する
Jamf PKI Proxy をインストールして構成し、Jamf Pro で Venafi TPP 設定を構成する
Jamf Pro で証明書 payload を含む構成プロファイルを作成する
一般的な要件
以下のコンポーネントが必要です。
Jamf PKI Proxy 1.4.0 以降
Venafi Trust Protection Platform (TPP)
Venafi TPP を Jamf Pro と統合する前に、以下のことを確認してください。
Venafi TPP へのアクセスを構成し、必要な Venafi TPP 資格情報を取得した。これらの資格情報は、Venafi (ベナファイ) API 経由で証明書を管理できるものでなければなりません。
証明書の発行用にポリシーを 1 つ構成した。
サービスによって生成される CSR を使用する場合は、Venafi TPP で秘密鍵が生成されて格納され、続いてコンピュータやモバイルデバイスに送信されます。これにより、公開鍵で暗号化されたデータの複合化が可能となります。サービスによって生成される CSR を使用する場合は、一部の構成プロファイル payload 設定が Venafi (ベナファイ) ポリシーセットアップに基づいて適用できないこともあります。
Venafi TPP におけるポリシーの要件は、そのポリシーに CA テンプレートを構成することのみです。構成プロファイル payload は、一般名とフレンドリ名を供給します。
Venafi (ベナファイ) CA に構成された Venafi (ベナファイ) ユーザが Venafi (ベナファイ) 統合で証明書の発行と取り消しを行うには、Venafi TPP で以下の権限が必要になります。表示、読み取り、書き込み、作成、取り消し、秘密鍵読み取りの各権限を所有している必要があります。さらに、Venafi TPP でこの Venafi TPP ユーザに関して Allow WebSDK Access (WebSDK Access を許可する) が有効になっている必要もあります。
通信
Jamf Pro は、Jamf PKI Proxy を使用して Venafi (ベナファイ) と通信し、証明書を取得します。Jamf Pro は、mTLS v1.2 ~ v1.3 を使用して Jamf PKI Proxy と通信します。