Configura Jamf Pro for Connector per SCEP - AWS Private Certificate Authority
Jamf Pro

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura Jamf Pro for Connector per SCEP

È possibile utilizzarlo AWS Private CA come autorità di certificazione (CA) esterna con il sistema di gestione dei dispositivi mobili Jamf Pro. MDM Questa guida fornisce istruzioni su come configurare Jamf Pro dopo aver creato un connettore generico.

Configura Jamf Pro for Connector per SCEP

Questa guida fornisce istruzioni su come configurare Jamf Pro per l'uso con Connector for. SCEP Dopo aver configurato correttamente Jamf Pro e Connector forSCEP, sarai in grado di emettere AWS Private CA certificati per i tuoi dispositivi gestiti.

Requisiti Jamf Pro

L'implementazione di Jamf Pro deve soddisfare i seguenti requisiti.

  • È necessario abilitare l'impostazione Abilita l'autenticazione basata su certificati in Jamf Pro. Puoi trovare i dettagli su questa impostazione nella pagina Impostazioni di sicurezza di Jamf Pro nella documentazione di Jamf Pro.

Passaggio 1: (Facoltativo, consigliato) Ottieni l'impronta digitale della tua CA privata

L'impronta digitale è un identificatore univoco della CA privata che può essere utilizzato per verificare l'identità della CA quando si instaura un rapporto di fiducia con altri sistemi o applicazioni. L'incorporazione di un'impronta digitale dell'autorità di certificazione (CA) consente ai dispositivi gestiti di autenticare la CA a cui si connettono e richiedere certificati esclusivamente alla CA prevista. Consigliamo di utilizzare un'impronta digitale CA con Jamf Pro.

Per generare un'impronta digitale per la tua CA privata

  1. Ottieni il certificato CA privato da una AWS Private CA console o utilizzando il GetCertificateAuthorityCertificate. Salvalo come ca.pem file.

  2. Installa le utilità Open SSL Command Line.

  3. In OpenSSL, esegui il seguente comando per generare l'impronta digitale:

    openssl x509 -in ca.pem -sha256 -fingerprint

Fase 2: Configurazione AWS Private CA come CA esterna in Jamf Pro

Dopo aver creato un connettore perSCEP, è necessario impostarlo AWS Private CA come autorità di certificazione (CA) esterna in Jamf Pro. È possibile impostarlo AWS Private CA come CA globale ed esterna. In alternativa, è possibile utilizzare un profilo di configurazione Jamf Pro per emettere certificati diversi AWS Private CA per diversi casi d'uso, ad esempio l'emissione di certificati a un sottoinsieme di dispositivi dell'organizzazione. Le linee guida sull'implementazione dei profili di configurazione Jamf Pro non rientrano nell'ambito di questo documento.

Da configurare AWS Private CA come autorità di certificazione (CA) esterna in Jamf Pro

  1. Nella console Jamf Pro, vai alla pagina delle impostazioni PKI dei certificati andando su Impostazioni > Globali > certificati. PKI

  2. Seleziona la scheda Modello di certificato di gestione.

  3. Seleziona CA esterna.

  4. Seleziona Edit (Modifica).

  5. (Facoltativo) Seleziona Abilita Jamf Pro come SCEP proxy per i profili di configurazione. Puoi utilizzare i profili di configurazione Jamf Pro per emettere diversi certificati personalizzati per casi d'uso specifici. Per indicazioni su come utilizzare i profili di configurazione in Jamf Pro, consulta Abilitazione di Jamf Pro come SCEP proxy per i profili di configurazione nella documentazione di Jamf Pro.

  6. Seleziona Usa una CA esterna SCEP abilitata per la registrazione di computer e dispositivi mobili.

  7. (Facoltativo) Seleziona Usa Jamf Pro come SCEP proxy per la registrazione di computer e dispositivi mobili. Se riscontri errori di installazione del profilo, consulta. Risolvi gli errori di installazione del profilo

  8. Copia e incolla il Connector for SCEP public SCEP URL dai dettagli del connettore nel URLcampo di Jamf Pro. Per visualizzare i dettagli di un connettore, scegli il connettore dall'SCEPelenco Connettori per. In alternativa, puoi ottenerlo URL chiamando GetConnectore copiare il Endpoint valore dalla risposta.

  9. (Facoltativo) Immettete il nome dell'istanza nel campo Nome. Ad esempio, è possibile assegnarle un nome AWS Private CA.

  10. Seleziona Statico per il tipo di sfida.

  11. Copia una password di sfida dal tuo connettore e incollala nel campo Sfida. Un connettore può avere più password di sfida. Per visualizzare le password di richiesta del connettore, accedi alla pagina dei dettagli del connettore nella AWS console e seleziona il pulsante Visualizza password. In alternativa, puoi ottenere una o più password di sfida del connettore chiamando GetChallengePassworde copiando un Password valore dalla risposta. Per informazioni sull'utilizzo delle password di sfida, consultaComprendi le SCEP considerazioni e le limitazioni di Connector.

  12. Incolla la password della sfida nel campo Verifica sfida.

  13. Scegli una dimensione della chiave. Consigliamo una dimensione della chiave pari o superiore a 2048.

  14. (Facoltativo) Seleziona Usa come firma digitale. Seleziona questa opzione per scopi di autenticazione per garantire ai dispositivi un accesso sicuro a risorse come Wi-Fi eVPN.

  15. (Facoltativo) Seleziona Usa per la cifratura delle chiavi.

  16. (Facoltativo, consigliato) Inserisci una stringa esadecimale nel campo Impronta digitale. Si consiglia di aggiungere un'impronta digitale della CA per consentire ai dispositivi gestiti di verificare la CA e di richiedere solo i certificati alla CA. Per istruzioni su come generare un'impronta digitale per la tua CA privata, consulta. Passaggio 1: (Facoltativo, consigliato) Ottieni l'impronta digitale della tua CA privata

  17. Seleziona Salva.

Fase 3: Impostare un certificato di firma del profilo di configurazione

Per utilizzare Jamf Pro with Connector forSCEP, devi fornire i certificati di firma e CA per la CA privata associata al tuo connettore. Puoi farlo caricando un keystore dei certificati di firma del profilo su Jamf Pro che contenga entrambi i certificati.

Ecco i passaggi per creare un keystore dei certificati e caricarlo in Jamf Pro:

  • Genera una richiesta di firma del certificato (CSR) utilizzando i tuoi processi interni.

  • Fatti CSR firmare dalla CA privata associata al tuo connettore.

  • Crea un keystore dei certificati di firma del profilo che contenga sia i certificati di firma del profilo che i certificati CA.

  • Carica il keystore dei certificati su Jamf Pro.

Seguendo questi passaggi, puoi assicurarti che i tuoi dispositivi possano convalidare e autenticare il profilo di configurazione firmato dalla tua CA privata, abilitando l'uso di Connector for SCEP with Jamf Pro.

  1. L'esempio seguente utilizza Open SSL and AWS Certificate Manager, ma puoi generare una richiesta di firma del certificato utilizzando il tuo metodo preferito.

    AWS Certificate Manager console
    Per creare un certificato di firma del profilo utilizzando la ACM console

    1. Utilizzare ACM per richiedere un PKI certificato privato. Includi quanto segue:

      • Tipo: utilizza lo stesso tipo di CA privata che funge da autorità di SCEP certificazione per il MDM sistema.

      • Nella sezione Dettagli dell'autorità di certificazione, seleziona il menu Autorità di certificazione e scegli la CA privata che funge da CA per Jamf Pro.

      • Nome di dominio: fornisci un nome di dominio da incorporare nel certificato. È possibile utilizzare un nome di dominio completo (FQDN), ad esempiowww.example.com, oppure un nome di dominio semplice o apex come example.com (che escludewww.).

    2. ACMUtilizzatelo per esportare il certificato privato creato nel passaggio precedente. Scegli Esporta un file per il certificato, la catena di certificati e la chiave crittografata. Tieni la passphrase a portata di mano perché ti servirà nel passaggio successivo.

    3. In un terminale, esegui il seguente comando in una cartella contenente i file esportati per scrivere il pacchetto PKCS #12 nel output.p12 file codificato dalla passphrase creata nel passaggio precedente.

      openssl pkcs12 -export \
  -in "Exported Certificate.txt" \
  -certfile "Certificate Chain.txt" \
  -inkey "Exported Certificate Private Key.txt" \
  -name example \
  -out output.p12 \
  -passin pass:your-passphrase \
  -passout pass:your-passphrase
    AWS Certificate Manager CLI
    Per creare un certificato di firma del profilo utilizzando il ACM CLI

    • Il comando seguente mostra come creare un certificato in ACM e quindi esportare i file come pacchetto PKCS #12.

      PCA=<Enter your Private CA ARN>

CERTIFICATE=$(aws acm request-certificate \
    --certificate-authority-arn $PCA \
    --domain-name <any valid domain name, such as test.name> \
    | jq -r '.CertificateArn')

while [[ $(aws acm describe-certificate \
  --certificate-arn $CERTIFICATE \
  | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
  
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
  
openssl pkcs12 -export \
  -in "Certificate.pem" \
  -certfile "CertificateChain.pem" \
  -inkey "PrivateKey.pem" \
  -name example \
  -out output.p12 \
  -passin pass:passphrase \
  -passout pass:passphrase
    OpenSSL CLI
    Per creare un certificato di firma del profilo utilizzando Open SSL CLI

    1. Utilizzando OpenSSL, genera una chiave privata eseguendo il comando seguente.

      openssl genrsa -out local.key 2048

    2. Genera una richiesta di firma del certificato (CSR):

      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation

    3. Utilizzando AWS CLI, emetti il certificato di firma utilizzando CSR quello generato nel passaggio precedente. Esegui il comando seguente e annota il certificato ARN nella risposta.

      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS

    4. Ottieni il certificato di firma eseguendo il comando seguente. Specificare il certificato ARN del passaggio precedente.

      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt

    5. Ottieni il certificato CA eseguendo il comando seguente.

      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt

    6. Utilizzando OpenSSL, emette il keystore del certificato di firma in formato p12. Utilizzate i CRT file generati nei passaggi quattro e cinque.

      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12

    7. Quando richiesto, inserisci una password di esportazione. Questa password è la password del keystore da fornire a Jamf Pro.

  2. In Jamf Pro, vai al modello di certificato di gestione e vai al pannello CA esterna.

  3. Nella parte inferiore del pannello CA esterna, seleziona Change Signing and CA Certificates.

  4. Segui le istruzioni visualizzate sullo schermo per caricare i certificati di firma e CA per la CA esterna.

Fase 4: (Facoltativo) Installazione del certificato durante la registrazione avviata dall'utente

Per stabilire un rapporto di fiducia tra i dispositivi client e la CA privata, è necessario assicurarsi che i dispositivi abbiano fiducia nei certificati emessi da Jamf Pro. Puoi utilizzare le impostazioni di registrazione avviate dall'utente di Jamf Pro per installare automaticamente il certificato CA AWS Private CA del tuo dispositivo client quando richiedono un certificato durante il processo di registrazione.

Risolvi gli errori di installazione del profilo

Se riscontri errori di installazione del profilo dopo aver abilitato Usa Jamf Pro come SCEP proxy per la registrazione di computer e dispositivi mobili, consulta i registri del dispositivo e prova quanto segue.

Messaggio di errore nel registro del dispositivo Mitigazione

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>

Se ricevi questo messaggio di errore durante il tentativo di registrazione, riprova a registrarti. Possono essere necessari diversi tentativi prima che l'iscrizione abbia esito positivo.

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>

La password di sfida potrebbe non essere configurata correttamente. Verifica che la password di sfida in Jamf Pro corrisponda alla password di sfida del connettore.