As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar o Jamf Pro para conector para SCEP
Você pode usar AWS Private CA como uma autoridade de certificação externa (CA) com o sistema Jamf Pro de gerenciamento de dispositivos móveis (MDM). Este guia fornece instruções sobre como configurar o Jamf Pro depois de criar um conector de uso geral.
Configurar o Jamf Pro para conector para SCEP
Este guia fornece instruções sobre como configurar o Jamf Pro para uso com o Connector for SCEP. Depois de configurar com sucesso o Jamf Pro e o Connector para SCEP, você poderá emitir AWS Private CA certificados para seus dispositivos gerenciados.
Requisitos do Jamf Pro
Sua implementação do Jamf Pro deve atender aos seguintes requisitos.
Você deve habilitar a configuração Ativar autenticação baseada em certificado no Jamf Pro. Você pode encontrar detalhes sobre essa configuração na página Configurações de segurança
do Jamf Pro na documentação do Jamf Pro.
Etapa 1: (Opcional - recomendado) Obtenha a impressão digital da sua CA privada
Uma impressão digital é um identificador exclusivo para sua CA privada que pode ser usada para verificar a identidade de sua CA ao estabelecer confiança com outros sistemas ou aplicativos. A incorporação de uma impressão digital de autoridade de certificação (CA) permite que os dispositivos gerenciados autentiquem a CA à qual estão se conectando e solicitem certificados somente da CA prevista. Recomendamos usar uma impressão digital CA com o Jamf Pro.
Para gerar uma impressão digital para sua CA privada
Obtenha o certificado CA privado de qualquer AWS Private CA console ou usando GetCertificateAuthorityCertificateo. Salve-o como
ca.pem
arquivo.Instale os utilitários de linha de comando do OpenSSL
. No OpenSSL, execute o seguinte comando para gerar a impressão digital:
openssl x509 -in ca.pem -sha256 -fingerprint
Etapa 2: Configurar AWS Private CA como uma CA externa no Jamf Pro
Depois de criar um conector para o SCEP, você deve definir AWS Private CA como uma autoridade de certificação (CA) externa no Jamf Pro. Você pode definir AWS Private CA como uma CA externa global. Como alternativa, você pode usar um perfil de configuração do Jamf Pro para emitir certificados diferentes AWS Private CA para diferentes casos de uso, como emitir certificados para um subconjunto de dispositivos em sua organização. A orientação sobre a implementação dos perfis de configuração do Jamf Pro está além do escopo deste documento.
Para configurar AWS Private CA como uma autoridade de certificação externa (CA) no Jamf Pro
No console Jamf Pro, acesse a página de configurações dos certificados PKI acessando Configurações > Global > Certificados PKI.
Selecione a guia Modelo de certificado de gerenciamento.
Selecione CA externa.
Selecione Editar.
(Opcional) Selecione Ativar Jamf Pro como proxy SCEP para perfis de configuração. Você pode usar os perfis de configuração do Jamf Pro para emitir diferentes certificados personalizados para casos de uso específicos. Para obter orientação sobre como usar perfis de configuração no Jamf Pro, consulte Habilitando o Jamf Pro como proxy SCEP para perfis de configuração
na documentação do Jamf Pro. Selecione Usar uma CA externa habilitada para SCEP para registro de computadores e dispositivos móveis.
(Opcional) Selecione Usar Jamf Pro como proxy SCEP para registro de computadores e dispositivos móveis. Se você tiver falhas na instalação do perfil, consulteSolucionar problemas de falhas na instalação do perfil.
Copie e cole o URL SCEP público do Connector for SCEP dos detalhes do conector para o campo URL no Jamf Pro. Para ver os detalhes de um conector, escolha o conector na lista Conectores para SCEP
. Como alternativa, você pode obter o URL chamando GetConnectore copiando o Endpoint
valor da resposta.(Opcional) Insira o nome da instância no campo Nome. Por exemplo, você pode nomeá-lo AWS Private CA.
Selecione Estático para o tipo de desafio.
Copie uma senha de desafio do seu conector e cole-a no campo Desafio. Um conector pode ter várias senhas de desafio. Para ver as senhas de desafio do seu conector, navegue até a página de detalhes do conector no AWS console e selecione o botão Exibir senha. Como alternativa, você pode obter a (s) senha (s) de desafio de um conector chamando GetChallengePassworde copiando um
Password
valor da resposta. Para obter informações sobre o uso de senhas de desafio, consulteCompreenda as considerações e limitações do Connector for SCEP.Cole a senha do desafio no campo Verificar desafio.
Escolha um tamanho de chave. Recomendamos um tamanho de chave de 2048 ou superior.
(Opcional) Selecione Usar como assinatura digital. Selecione essa opção para fins de autenticação para conceder aos dispositivos acesso seguro a recursos como Wi-Fi e VPN.
(Opcional) Selecione Usar para criptografia de chave.
(Opcional - recomendado) Insira uma string hexadecimal no campo Impressão digital. Recomendamos que você adicione uma impressão digital da CA para permitir que os dispositivos gerenciados verifiquem a CA e solicitem somente certificados da CA. Para obter instruções sobre como gerar uma impressão digital para sua CA privada, consulteEtapa 1: (Opcional - recomendado) Obtenha a impressão digital da sua CA privada.
Selecione Salvar.
Etapa 3: Configurar um certificado de assinatura do perfil de configuração
Para usar o Jamf Pro com o Connector for SCEP, você deve fornecer os certificados de assinatura e CA para a CA privada associada ao seu conector. Você pode fazer isso carregando um repositório de chaves de certificado de assinatura de perfil para o Jamf Pro que contém os dois certificados.
Aqui estão as etapas para criar um repositório de chaves de certificado e carregá-lo no Jamf Pro:
Gere uma solicitação de assinatura de certificado (CSR) usando seus processos internos.
Obtenha a CSR assinada pela CA privada associada ao seu conector.
Crie um repositório de chaves de certificado de assinatura de perfil que contenha a assinatura de perfil e os certificados CA.
Faça o upload do repositório de chaves do certificado para o Jamf Pro.
Seguindo essas etapas, você pode garantir que seus dispositivos possam validar e autenticar o perfil de configuração assinado por sua CA privada, permitindo o uso do Connector for SCEP com o Jamf Pro.
-
O exemplo a seguir usa OpenSSL AWS Certificate Manager e., mas você pode gerar uma solicitação de assinatura de certificado usando seu método preferido.
No Jamf Pro, navegue até o Modelo de Certificado de Gerenciamento e vá para o painel CA externo.
Na parte inferior do painel CA externa, selecione Alterar assinatura e certificados CA.
Siga as instruções na tela para carregar os certificados de assinatura e CA para a CA externa.
Etapa 4: (Opcional) Instalar o certificado durante a inscrição iniciada pelo usuário
Para estabelecer confiança entre seus dispositivos cliente e sua CA privada, você deve garantir que seus dispositivos confiem nos certificados emitidos pelo Jamf Pro. Você pode usar as configurações de inscrição iniciadas pelo usuário
Solucionar problemas de falhas na instalação do perfil
Se você estiver enfrentando falhas na instalação do perfil após ativar o Use Jamf Pro as SCEP Proxy para registro de computadores e dispositivos móveis, consulte os registros do dispositivo e tente o seguinte.
Mensagem de erro de registro do dispositivo | Mitigação |
---|---|
|
Se você receber essa mensagem de erro ao tentar se inscrever, tente se inscrever novamente. Podem ser necessárias várias tentativas até que a inscrição seja bem-sucedida. |
|
Sua senha de desafio pode estar configurada incorretamente. Verifique se a senha de desafio no Jamf Pro corresponde à senha de desafio do seu conector. |