Konfigurasikan Jamf Pro untuk Konektor untuk SCEP - AWS Private Certificate Authority
Jamf Pro

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan Jamf Pro untuk Konektor untuk SCEP

Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem manajemen perangkat seluler Jamf Pro. MDM Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Jamf Pro setelah Anda membuat konektor tujuan umum.

Konfigurasikan Jamf Pro untuk Konektor untuk SCEP

Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Jamf Pro untuk digunakan dengan Connector forSCEP. Setelah berhasil mengonfigurasi Jamf Pro dan Connector forSCEP, Anda akan dapat mengeluarkan AWS Private CA sertifikat ke perangkat yang dikelola.

Persyaratan Jamf Pro

Implementasi Jamf Pro Anda harus memenuhi persyaratan berikut.

  • Anda harus mengaktifkan pengaturan Aktifkan otentikasi berbasis sertifikat di Jamf Pro. Anda dapat menemukan detail tentang pengaturan ini di halaman Pengaturan Keamanan Jamf Pro di dokumentasi Jamf Pro.

Langkah 1: (Opsional - disarankan) Dapatkan sidik jari CA pribadi Anda

Sidik jari adalah pengenal unik untuk CA pribadi Anda yang dapat digunakan untuk memverifikasi identitas CA Anda saat membangun kepercayaan dengan sistem atau aplikasi lain. Memasukkan sidik jari otoritas sertifikat (CA) memungkinkan perangkat yang dikelola untuk mengautentikasi CA yang mereka sambungkan dan meminta sertifikat semata-mata dari CA yang diantisipasi. Sebaiknya gunakan sidik jari CA dengan Jamf Pro.

Untuk menghasilkan sidik jari untuk CA pribadi Anda

  1. Dapatkan sertifikat CA pribadi baik dari AWS Private CA konsol atau dengan menggunakan GetCertificateAuthorityCertificate. Simpan sebagai ca.pem file.

  2. Instal utilitas baris SSL perintah terbuka.

  3. Di BukaSSL, jalankan perintah berikut untuk menghasilkan sidik jari:

    openssl x509 -in ca.pem -sha256 -fingerprint

Langkah 2: Konfigurasikan AWS Private CA sebagai CA eksternal di Jamf Pro

Setelah Anda membuat konektor untukSCEP, Anda harus menetapkan AWS Private CA sebagai otoritas sertifikat eksternal (CA) di Jamf Pro. Anda dapat mengatur AWS Private CA sebagai CA eksternal global. Atau, Anda dapat menggunakan profil konfigurasi Jamf Pro untuk mengeluarkan sertifikat yang berbeda dari AWS Private CA untuk kasus penggunaan yang berbeda, seperti menerbitkan sertifikat ke subset perangkat di organisasi Anda. Panduan penerapan profil konfigurasi Jamf Pro berada di luar cakupan dokumen ini.

Untuk mengkonfigurasi AWS Private CA sebagai otoritas sertifikat eksternal (CA) di Jamf Pro

  1. Di konsol Jamf Pro, buka halaman pengaturan PKI sertifikat dengan masuk ke Pengaturan> Global > PKIsertifikat.

  2. Pilih tab Templat Sertifikat Manajemen.

  3. Pilih CA Eksternal.

  4. Pilih Edit.

  5. (Opsional) Pilih Aktifkan Jamf Pro sebagai SCEP Proxy untuk profil konfigurasi. Anda dapat menggunakan profil konfigurasi Jamf Pro untuk mengeluarkan sertifikat berbeda yang disesuaikan dengan kasus penggunaan tertentu. Untuk panduan tentang cara menggunakan profil konfigurasi di Jamf Pro, lihat Mengaktifkan Jamf Pro sebagai SCEP Proxy untuk Profil Konfigurasi dalam dokumentasi Jamf Pro.

  6. Pilih Gunakan CA eksternal SCEP yang diaktifkan untuk pendaftaran komputer dan perangkat seluler.

  7. (Opsional) Pilih Gunakan Jamf Pro sebagai SCEP Proxy untuk pendaftaran komputer dan perangkat seluler. Jika Anda mengalami kegagalan instalasi profil, lihatMemecahkan masalah kegagalan instalasi profil.

  8. Salin dan tempel Konektor untuk SCEP publik SCEP URL dari detail konektor ke URLbidang di Jamf Pro. Untuk melihat detail konektor, pilih konektor dari SCEP daftar Konektor untuk. Atau, Anda bisa mendapatkannya URL dengan menelepon GetConnectordan menyalin Endpoint nilai dari respons.

  9. (Opsional) Masukkan nama instance di bidang Nama. Misalnya, Anda bisa menamainya AWS Private CA.

  10. Pilih Statis untuk jenis tantangan.

  11. Salin kata sandi tantangan dari konektor Anda, dan tempelkan ke bidang Tantangan. Konektor dapat memiliki beberapa kata sandi tantangan. Untuk melihat kata sandi tantangan konektor Anda, navigasikan ke halaman detail konektor Anda di AWS konsol dan pilih tombol Lihat kata sandi. Atau, Anda bisa mendapatkan kata sandi tantangan konektor dengan memanggil GetChallengePassworddan menyalin Password nilai dari respons. Untuk informasi tentang menggunakan kata sandi tantangan, lihatMemahami Konektor untuk SCEP pertimbangan dan batasan.

  12. Rekatkan kata sandi tantangan ke bidang Verifikasi Tantangan.

  13. Pilih Ukuran Kunci. Kami merekomendasikan ukuran kunci 2048 atau lebih tinggi.

  14. (Opsional) Pilih Gunakan sebagai tanda tangan digital. Pilih ini untuk tujuan otentikasi untuk memberikan perangkat akses aman ke sumber daya seperti Wi-Fi danVPN.

  15. (Opsional) Pilih Gunakan untuk encipherment kunci.

  16. (Opsional - disarankan) Masukkan string hex di bidang Sidik Jari. Kami menyarankan Anda menambahkan sidik jari CA untuk memungkinkan perangkat terkelola memverifikasi CA, dan hanya meminta sertifikat dari CA. Untuk petunjuk tentang cara membuat sidik jari untuk CA pribadi Anda, lihatLangkah 1: (Opsional - disarankan) Dapatkan sidik jari CA pribadi Anda.

  17. Pilih Simpan.

Langkah 3: Siapkan sertifikat penandatanganan profil konfigurasi

Untuk menggunakan Jamf Pro with Connector forSCEP, Anda harus memberikan sertifikat penandatanganan dan CA untuk CA pribadi yang terkait dengan konektor Anda. Anda dapat melakukannya dengan mengunggah keystore sertifikat penandatanganan profil ke Jamf Pro yang berisi kedua sertifikat tersebut.

Berikut adalah langkah-langkah untuk membuat keystore sertifikat dan mengunggahnya ke Jamf Pro:

  • Buat permintaan penandatanganan sertifikat (CSR) menggunakan proses internal Anda.

  • Dapatkan CSR tanda tangan oleh CA pribadi yang terkait dengan konektor Anda.

  • Buat keystore sertifikat penandatanganan profil yang berisi penandatanganan profil dan sertifikat CA.

  • Unggah keystore sertifikat ke Jamf Pro.

Dengan mengikuti langkah-langkah ini, Anda dapat memastikan bahwa perangkat Anda dapat memvalidasi dan mengautentikasi profil konfigurasi yang ditandatangani oleh CA pribadi Anda, memungkinkan penggunaan Connector for SCEP dengan Jamf Pro.

  1. Contoh berikut menggunakan Buka SSL dan AWS Certificate Manager, tetapi Anda dapat membuat permintaan penandatanganan sertifikat menggunakan metode pilihan Anda.

    AWS Certificate Manager console
    Untuk membuat sertifikat penandatanganan profil menggunakan ACM konsol

    1. Gunakan ACM untuk meminta PKI sertifikat pribadi. Sertakan yang berikut ini:

      • Jenis - Gunakan jenis CA pribadi yang sama yang berfungsi sebagai otoritas SCEP sertifikat untuk MDM sistem Anda.

      • Di bagian Detail otoritas sertifikat, pilih menu Otoritas sertifikat dan pilih CA pribadi yang berfungsi sebagai CA untuk Jamf Pro.

      • Nama domain - Berikan nama domain untuk disematkan ke dalam sertifikat. Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), sepertiwww.example.com, atau nama domain telanjang atau apex seperti example.com (yang tidak termasukwww.).

    2. Gunakan ACM untuk mengekspor sertifikat pribadi yang Anda buat pada langkah sebelumnya. Pilih Ekspor file untuk sertifikat, rantai sertifikat, dan kunci terenkripsi. Simpan Passphrase berguna karena Anda akan membutuhkannya di langkah berikutnya.

    3. Di terminal, jalankan perintah berikut di folder yang berisi file yang diekspor untuk menulis bundel PKCS #12 ke dalam output.p12 file yang dikodekan oleh frasa sandi yang Anda buat pada langkah sebelumnya.

      openssl pkcs12 -export \
  -in "Exported Certificate.txt" \
  -certfile "Certificate Chain.txt" \
  -inkey "Exported Certificate Private Key.txt" \
  -name example \
  -out output.p12 \
  -passin pass:your-passphrase \
  -passout pass:your-passphrase
    AWS Certificate Manager CLI
    Untuk membuat sertifikat penandatanganan profil menggunakan ACM CLI

    • Perintah berikut menunjukkan cara membuat sertifikatACM, dan kemudian mengekspor file sebagai bundel PKCS #12.

      PCA=<Enter your Private CA ARN>

CERTIFICATE=$(aws acm request-certificate \
    --certificate-authority-arn $PCA \
    --domain-name <any valid domain name, such as test.name> \
    | jq -r '.CertificateArn')

while [[ $(aws acm describe-certificate \
  --certificate-arn $CERTIFICATE \
  | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
  
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
  
openssl pkcs12 -export \
  -in "Certificate.pem" \
  -certfile "CertificateChain.pem" \
  -inkey "PrivateKey.pem" \
  -name example \
  -out output.p12 \
  -passin pass:passphrase \
  -passout pass:passphrase
    OpenSSL CLI
    Untuk membuat sertifikat penandatanganan profil menggunakan Open SSL CLI

    1. Menggunakan OpenSSL, buat kunci pribadi dengan menjalankan perintah berikut.

      openssl genrsa -out local.key 2048

    2. Buat permintaan penandatanganan sertifikat (CSR):

      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation

    3. Dengan menggunakan AWS CLI, keluarkan sertifikat penandatanganan menggunakan yang CSR Anda buat di langkah sebelumnya. Jalankan perintah berikut, dan perhatikan sertifikat ARN dalam tanggapan.

      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS

    4. Dapatkan sertifikat penandatanganan dengan menjalankan perintah berikut. Tentukan sertifikat ARN dari langkah sebelumnya.

      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt

    5. Dapatkan sertifikat CA dengan menjalankan perintah berikut.

      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt

    6. Menggunakan OpenSSL, keluarkan keystore sertifikat penandatanganan dalam format p12. Gunakan CRT file yang Anda buat dalam langkah empat dan lima.

      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12

    7. Saat diminta, masukkan kata sandi ekspor. Kata sandi ini adalah kata sandi keystore Anda untuk diberikan kepada Jamf Pro.

  2. Di Jamf Pro, arahkan ke Template Sertifikat Manajemen dan buka panel CA Eksternal.

  3. Di bagian bawah panel CA Eksternal, pilih Ubah Penandatanganan dan Sertifikat CA.

  4. Ikuti petunjuk di layar untuk mengunggah sertifikat penandatanganan dan CA untuk CA eksternal.

Langkah 4: (Opsional) Instal sertifikat selama pendaftaran yang dimulai pengguna

Untuk membangun kepercayaan antara perangkat klien Anda dan CA pribadi Anda, Anda harus memastikan perangkat Anda mempercayai sertifikat yang dikeluarkan oleh Jamf Pro. Anda dapat menggunakan Pengaturan Pendaftaran yang Dimulai Pengguna Jamf Pro untuk menginstal sertifikat CA Anda AWS Private CA secara otomatis di perangkat klien saat mereka meminta sertifikat selama proses pendaftaran.

Memecahkan masalah kegagalan instalasi profil

Jika Anda mengalami kegagalan instalasi profil setelah mengaktifkan Gunakan Jamf Pro sebagai SCEP Proxy untuk pendaftaran komputer dan perangkat seluler, lihat log perangkat Anda dan coba yang berikut ini.

Pesan kesalahan log perangkat Mitigasi

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>

Jika Anda menerima pesan galat ini saat mencoba mendaftar, coba lagi pendaftaran. Diperlukan beberapa kali percobaan sebelum pendaftaran berhasil.

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>

Kata sandi tantangan Anda mungkin salah dikonfigurasi. Verifikasi bahwa kata sandi tantangan di Jamf Pro cocok dengan kata sandi tantangan konektor Anda.