Configurar o Jamf Pro para conector para SCEP - AWS Private Certificate Authority

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Jamf Pro para conector para SCEP

Você pode usar AWS Private CA como uma autoridade de certificação externa (CA) com o sistema Jamf Pro de gerenciamento de dispositivos móveis (MDM). Este guia fornece instruções sobre como configurar o Jamf Pro depois de criar um conector de uso geral.

Configurar o Jamf Pro para conector para SCEP

Este guia fornece instruções sobre como configurar o Jamf Pro para uso com o Connector for SCEP. Depois de configurar com sucesso o Jamf Pro e o Connector para SCEP, você poderá emitir AWS Private CA certificados para seus dispositivos gerenciados.

Requisitos do Jamf Pro

Sua implementação do Jamf Pro deve atender aos seguintes requisitos.

  • Você deve habilitar a configuração Ativar autenticação baseada em certificado no Jamf Pro. Você pode encontrar detalhes sobre essa configuração na página Configurações de segurança do Jamf Pro na documentação do Jamf Pro.

Etapa 1: (Opcional - recomendado) Obtenha a impressão digital da sua CA privada

Uma impressão digital é um identificador exclusivo para sua CA privada que pode ser usada para verificar a identidade de sua CA ao estabelecer confiança com outros sistemas ou aplicativos. A incorporação de uma impressão digital de autoridade de certificação (CA) permite que os dispositivos gerenciados autentiquem a CA à qual estão se conectando e solicitem certificados somente da CA prevista. Recomendamos usar uma impressão digital CA com o Jamf Pro.

Para gerar uma impressão digital para sua CA privada
  1. Obtenha o certificado CA privado de qualquer AWS Private CA console ou usando GetCertificateAuthorityCertificateo. Salve-o como ca.pem arquivo.

  2. Instale os utilitários de linha de comando do OpenSSL.

  3. No OpenSSL, execute o seguinte comando para gerar a impressão digital:

    openssl x509 -in ca.pem -sha256 -fingerprint

Etapa 2: Configurar AWS Private CA como uma CA externa no Jamf Pro

Depois de criar um conector para o SCEP, você deve definir AWS Private CA como uma autoridade de certificação (CA) externa no Jamf Pro. Você pode definir AWS Private CA como uma CA externa global. Como alternativa, você pode usar um perfil de configuração do Jamf Pro para emitir certificados diferentes AWS Private CA para diferentes casos de uso, como emitir certificados para um subconjunto de dispositivos em sua organização. A orientação sobre a implementação dos perfis de configuração do Jamf Pro está além do escopo deste documento.

Para configurar AWS Private CA como uma autoridade de certificação externa (CA) no Jamf Pro
  1. No console Jamf Pro, acesse a página de configurações dos certificados PKI acessando Configurações > Global > Certificados PKI.

  2. Selecione a guia Modelo de certificado de gerenciamento.

  3. Selecione CA externa.

  4. Selecione Editar.

  5. (Opcional) Selecione Ativar Jamf Pro como proxy SCEP para perfis de configuração. Você pode usar os perfis de configuração do Jamf Pro para emitir diferentes certificados personalizados para casos de uso específicos. Para obter orientação sobre como usar perfis de configuração no Jamf Pro, consulte Habilitando o Jamf Pro como proxy SCEP para perfis de configuração na documentação do Jamf Pro.

  6. Selecione Usar uma CA externa habilitada para SCEP para registro de computadores e dispositivos móveis.

  7. (Opcional) Selecione Usar Jamf Pro como proxy SCEP para registro de computadores e dispositivos móveis. Se você tiver falhas na instalação do perfil, consulteSolucionar problemas de falhas na instalação do perfil.

  8. Copie e cole o URL SCEP público do Connector for SCEP dos detalhes do conector para o campo URL no Jamf Pro. Para ver os detalhes de um conector, escolha o conector na lista Conectores para SCEP. Como alternativa, você pode obter o URL chamando GetConnectore copiando o Endpoint valor da resposta.

  9. (Opcional) Insira o nome da instância no campo Nome. Por exemplo, você pode nomeá-lo AWS Private CA.

  10. Selecione Estático para o tipo de desafio.

  11. Copie uma senha de desafio do seu conector e cole-a no campo Desafio. Um conector pode ter várias senhas de desafio. Para ver as senhas de desafio do seu conector, navegue até a página de detalhes do conector no AWS console e selecione o botão Exibir senha. Como alternativa, você pode obter a (s) senha (s) de desafio de um conector chamando GetChallengePassworde copiando um Password valor da resposta. Para obter informações sobre o uso de senhas de desafio, consulteCompreenda as considerações e limitações do Connector for SCEP.

  12. Cole a senha do desafio no campo Verificar desafio.

  13. Escolha um tamanho de chave. Recomendamos um tamanho de chave de 2048 ou superior.

  14. (Opcional) Selecione Usar como assinatura digital. Selecione essa opção para fins de autenticação para conceder aos dispositivos acesso seguro a recursos como Wi-Fi e VPN.

  15. (Opcional) Selecione Usar para criptografia de chave.

  16. (Opcional - recomendado) Insira uma string hexadecimal no campo Impressão digital. Recomendamos que você adicione uma impressão digital da CA para permitir que os dispositivos gerenciados verifiquem a CA e solicitem somente certificados da CA. Para obter instruções sobre como gerar uma impressão digital para sua CA privada, consulteEtapa 1: (Opcional - recomendado) Obtenha a impressão digital da sua CA privada.

  17. Selecione Salvar.

Etapa 3: Configurar um certificado de assinatura do perfil de configuração

Para usar o Jamf Pro com o Connector for SCEP, você deve fornecer os certificados de assinatura e CA para a CA privada associada ao seu conector. Você pode fazer isso carregando um repositório de chaves de certificado de assinatura de perfil para o Jamf Pro que contém os dois certificados.

Aqui estão as etapas para criar um repositório de chaves de certificado e carregá-lo no Jamf Pro:

  • Gere uma solicitação de assinatura de certificado (CSR) usando seus processos internos.

  • Obtenha a CSR assinada pela CA privada associada ao seu conector.

  • Crie um repositório de chaves de certificado de assinatura de perfil que contenha a assinatura de perfil e os certificados CA.

  • Faça o upload do repositório de chaves do certificado para o Jamf Pro.

Seguindo essas etapas, você pode garantir que seus dispositivos possam validar e autenticar o perfil de configuração assinado por sua CA privada, permitindo o uso do Connector for SCEP com o Jamf Pro.

  1. O exemplo a seguir usa OpenSSL AWS Certificate Manager e., mas você pode gerar uma solicitação de assinatura de certificado usando seu método preferido.

    AWS Certificate Manager console
    Para criar um certificado de assinatura de perfil usando o console ACM
    1. Use o ACM para solicitar um certificado PKI privado. Inclua o seguinte:

      • Tipo - Use o mesmo tipo de CA privada que serve como autoridade de certificação SCEP para seu sistema MDM.

      • Na seção Detalhes da autoridade de certificação, selecione o menu Autoridade de certificação e escolha a CA privada que serve como CA para o Jamf Pro.

      • Nome de domínio - Forneça um nome de domínio a ser incorporado ao certificado. Você pode usar um nome de domínio totalmente qualificado (FQDN), comowww.example.com, ou um nome de domínio simples ou ápice, como example.com (o que exclui). www.

    2. Use o ACM para exportar o certificado privado que você criou na etapa anterior. Escolha Exportar um arquivo para o certificado, a cadeia de certificados e a chave criptografada. Mantenha a frase secreta à mão, pois você precisará dela na próxima etapa.

    3. Em um terminal, execute o comando a seguir em uma pasta contendo os arquivos exportados para gravar o pacote PKCS #12 no output.p12 arquivo codificado pela senha que você criou na etapa anterior.

      openssl pkcs12 -export \ -in "Exported Certificate.txt" \ -certfile "Certificate Chain.txt" \ -inkey "Exported Certificate Private Key.txt" \ -name example \ -out output.p12 \ -passin pass:your-passphrase \ -passout pass:your-passphrase
    AWS Certificate Manager CLI
    Para criar um certificado de assinatura de perfil usando a CLI do ACM
    • O comando a seguir mostra como criar um certificado no ACM e depois exportar os arquivos como um pacote PKCS #12.

      PCA=<Enter your Private CA ARN> CERTIFICATE=$(aws acm request-certificate \ --certificate-authority-arn $PCA \ --domain-name <any valid domain name, such as test.name> \ | jq -r '.CertificateArn') while [[ $(aws acm describe-certificate \ --certificate-arn $CERTIFICATE \ | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done aws acm export-certificate \ --certificate-arn $CERTIFICATE \ --passphrase password | jq -r '.Certificate' > Certificate.pem aws acm export-certificate \ --certificate-arn $CERTIFICATE \ --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem aws acm export-certificate \ --certificate-arn $CERTIFICATE \ --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem openssl pkcs12 -export \ -in "Certificate.pem" \ -certfile "CertificateChain.pem" \ -inkey "PrivateKey.pem" \ -name example \ -out output.p12 \ -passin pass:passphrase \ -passout pass:passphrase
    OpenSSL CLI
    Para criar um certificado de assinatura de perfil usando o OpenSSL CLI
    1. Usando o OpenSSL, gere uma chave privada executando o comando a seguir.

      openssl genrsa -out local.key 2048
    2. Gere uma solicitação de assinatura de certificado (CSR):

      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
    3. Usando o AWS CLI, emita o certificado de assinatura usando o CSR que você gerou na etapa anterior. Execute o comando a seguir e anote o ARN do certificado na resposta.

      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
    4. Obtenha o certificado de assinatura executando o comando a seguir. Especifique o ARN do certificado da etapa anterior.

      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
    5. Obtenha o certificado CA executando o comando a seguir.

      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
    6. Usando o OpenSSL, imprima o repositório de chaves do certificado de assinatura no formato p12. Use os arquivos CRT que você gerou nas etapas quatro e cinco.

      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
    7. Quando solicitado, insira uma senha de exportação. Essa senha é a senha do seu keystore para fornecer ao Jamf Pro.

  2. No Jamf Pro, navegue até o Modelo de Certificado de Gerenciamento e vá para o painel CA externo.

  3. Na parte inferior do painel CA externa, selecione Alterar assinatura e certificados CA.

  4. Siga as instruções na tela para carregar os certificados de assinatura e CA para a CA externa.

Etapa 4: (Opcional) Instalar o certificado durante a inscrição iniciada pelo usuário

Para estabelecer confiança entre seus dispositivos cliente e sua CA privada, você deve garantir que seus dispositivos confiem nos certificados emitidos pelo Jamf Pro. Você pode usar as configurações de inscrição iniciadas pelo usuário do Jamf Pro para instalar automaticamente seu AWS Private CA certificado CA nos dispositivos clientes quando eles solicitarem um certificado durante o processo de inscrição.

Solucionar problemas de falhas na instalação do perfil

Se você estiver enfrentando falhas na instalação do perfil após ativar o Use Jamf Pro as SCEP Proxy para registro de computadores e dispositivos móveis, consulte os registros do dispositivo e tente o seguinte.

Mensagem de erro de registro do dispositivo Mitigação

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>

Se você receber essa mensagem de erro ao tentar se inscrever, tente se inscrever novamente. Podem ser necessárias várias tentativas até que a inscrição seja bem-sucedida.

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>

Sua senha de desafio pode estar configurada incorretamente. Verifique se a senha de desafio no Jamf Pro corresponde à senha de desafio do seu conector.