为连接器配置 Jamf Pro SCEP

您可以在 Jamf Pro 移动设备管理 () 系统中 AWS Private CA 用作外部证书颁发机构 (CAMDM)。本指南提供有关如何在创建通用连接器后配置 Jamf Pro 的说明。

为连接器配置 Jamf Pro SCEP

本指南提供了有关如何配置 Jamf Pro 以与连接器配合使用的说明。SCEP成功配置 Jamf Pro 和 Connector 后SCEP，您就可以向托管设备颁 AWS Private CA 发证书。

Jamf Pro 要求

您的 Jamf Pro 实施必须满足以下要求。

您必须在 Jamf Pro 中启用 “启用基于证书的身份验证” 设置。您可以在 Jamf Pro 文档的 Jamf Pro 安全设置页面上找到有关此设置的详细信息。

第 1 步：（可选-推荐）获取您的私有 CA 的指纹

指纹是您的私有 CA 的唯一标识符，可用于在与其他系统或应用程序建立信任时验证您的 CA 的身份。通过使用证书颁发机构 (CA) 指纹，托管设备可以对其连接的 CA 进行身份验证，并仅向预期的 CA 请求证书。我们建议在 Jamf Pro 上使用 CA 指纹。

为您的私有 CA 生成指纹

从 AWS Private CA 控制台或使用获取私有 CA 证书GetCertificateAuthorityCertificate。将其另存为ca.pem文件。
安装打开SSL命令行实用程序。
在 Open 中SSL，运行以下命令生成指纹：
```
openssl x509 -in ca.pem -sha256 -fingerprint
```

第 2 步：在 Jamf Pro 中配置 AWS Private CA 为外部 CA

为创建连接器后SCEP，必须在 Jamf Pro 中设置 AWS Private CA 为外部证书颁发机构 (CA)。您可以设置 AWS Private CA 为全局的外部 CA。或者，您可以使用 Jamf Pro 配置文件 AWS Private CA 为不同的用例颁发不同的证书，例如向组织中的一部分设备颁发证书。有关实现 Jamf Pro 配置文件的指导超出了本文档的范围。

在 Jamf Pro 中配置 AWS Private CA 为外部证书颁发机构 (CA)

在 Jamf Pro 控制台中，前往 “设置” > “全局” > “PKI证书”，进入PKI证书设置页面。
选择 “管理证书模板” 选项卡。
选择外部 CA。
选择编辑。
（可选）为配置文件选择 “启用 Jamf Pro 作为SCEP代理”。您可以使用 Jamf Pro 配置文件颁发针对特定用例量身定制的不同证书。有关如何在 Jamf Pro 中使用配置文件的指导，请参阅 Jamf Pr o 文档中的启用 Jamf Pro 作为配置配置文件的SCEP代理。
选择 “使用SCEP已启用的外部 CA 注册计算机和移动设备”。
（可选）选择 “使用 Jamf Pro 作为SCEP代理进行计算机和移动设备注册”。如果您遇到配置文件安装失败的情况，请参阅解决配置文件安装失败的问题。
将连接器SCEPURL从连接器的详细信息SCEP中复制并粘贴到 Jamf Pro 中的URL字段中。要查看连接器的详细信息，请从 “连接器” SCEP 列表中选择该连接器。或者，你可以URL通过调用来获取，GetConnector然后从响应中复制Endpoint值。
（可选）在名称字段中输入实例的名称。例如，你可以给它起个名字AWS Private CA。
为挑战类型选择 “静态”。
从连接器中复制质询密码，然后将其粘贴到 “质疑” 字段中。一个连接器可以有多个质询密码。要查看连接器的质询密码，请在 AWS 控制台中导航到连接器的详细信息页面，然后选择查看密码按钮。或者，您可以通过调用GetChallengePassword并复制响应中的Password值来获取连接器的质询密码。有关使用质询密码的信息，请参阅了解 Connecto SCEP r 的注意事项和限制。
将质询密码粘贴到验证质询字段中。
选择密钥大小。我们建议密钥大小为 2048 或更高。
（可选）选择 “用作数字签名”。选择此项进行身份验证，以授予设备安全访问诸如Wi-Fi和之类的资源的权限VPN。
（可选）选择 “用于密钥加密”。
（可选-推荐）在 “指纹” 字段中输入十六进制字符串。我们建议您添加 CA 指纹以允许托管设备验证 CA，并且仅向 CA 申请证书。有关如何为私有 CA 生成指纹的说明，请参阅第 1 步：（可选-推荐）获取您的私有 CA 的指纹。
选择保存。

步骤 3：设置配置文件签名证书

要将 Jamf Pro 与 Connector 配合使用SCEP，您必须提供与您的连接器关联的私有 CA 的签名和 CA 证书。为此，您可以将包含两个证书的配置文件签名证书密钥库上传到 Jamf Pro。

以下是创建证书密钥库并将其上传到 Jamf Pro 的步骤：

使用您的内部流程生成证书签名请求 (CSR)。
获取与您的连接器关联的私有 CA 的CSR签名。
创建包含配置文件签名和 CA 证书的配置文件签名证书密钥库。
将证书密钥库上传到 Jamf Pro。

通过执行这些步骤，您可以确保您的设备可以验证和验证由您的私有 CA 签名的配置文件，从而允许在 Jamf Pro 中使用 Conn SCEP ector。

以下示例使用 Open SSL 和 AWS Certificate Manager，但您可以使用首选方法生成证书签名请求。

AWS Certificate Manager console

使用ACM控制台创建配置文件签名证书

ACM用于申请私有PKI证书。包括以下内容：
- 类型-使用与MDM系统SCEP证书颁发机构相同的私有 CA 类型。
- 在证书颁发机构详细信息部分，选择证书颁发机构菜单，然后选择用作 Jamf Pro CA 的私有 CA。
- 域名-提供要嵌入到证书中的域名。您可以使用完全限定的域名 (FQDN)，例如www.example.com，也可以使用裸域名或顶点域名，例如example.com（不包括www.）。
ACM用于导出您在上一步中创建的私有证书。选择导出证书、证书链和加密密钥的文件。请随身携带密码短语，因为下一步你将需要它。

在终端中，在包含导出文件的文件夹中运行以下命令，将 PKCS #12 bundle 写入由您在上一步中创建的密码编码output.p12的文件中。


openssl pkcs12 -export \
  -in "Exported Certificate.txt" \
  -certfile "Certificate Chain.txt" \
  -inkey "Exported Certificate Private Key.txt" \
  -name example \
  -out output.p12 \
  -passin pass:your-passphrase \
  -passout pass:your-passphrase

AWS Certificate Manager CLI

要使用创建配置文件签名证书 ACM CLI

以下命令显示如何在中创建证书ACM，然后将文件导出为 PKCS #12 捆绑包。


PCA=<Enter your Private CA ARN>

CERTIFICATE=$(aws acm request-certificate \
    --certificate-authority-arn $PCA \
    --domain-name <any valid domain name, such as test.name> \
    | jq -r '.CertificateArn')

while [[ $(aws acm describe-certificate \
  --certificate-arn $CERTIFICATE \
  | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
  
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
  
openssl pkcs12 -export \
  -in "Certificate.pem" \
  -certfile "CertificateChain.pem" \
  -inkey "PrivateKey.pem" \
  -name example \
  -out output.p12 \
  -passin pass:passphrase \
  -passout pass:passphrase

OpenSSL CLI

使用 Open 创建配置文件签名证书 SSL CLI

使用 OpenSSL，通过运行以下命令生成私钥。
```
openssl genrsa -out local.key 2048
```

生成证书签名请求 (CSR)：


openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation

使用 AWS CLI，使用CSR您在上一步中生成的签名证书颁发签名证书。运行以下命令，并在响应ARN中记下证书。


aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS

运行以下命令获取签名证书。指定上一步ARN中的证书。


aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt

通过运行以下命令获取 CA 证书。


aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt

使用 OpenSSL，以 p12 格式输出签名证书密钥库。使用您在步骤四和步骤五中生成的CRT文件。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
出现提示时，输入导出密码。此密码是您提供给 Jamf Pro 的密钥库密码。

在 Jamf Pro 中，导航到管理证书模板并转到外部 CA 窗格。
在外部 CA 窗格的底部，选择更改签名和 CA 证书。
按照屏幕上的说明上传外部 CA 的签名证书和 CA 证书。

步骤 4：（可选）在用户启动的注册过程中安装证书

要在您的客户端设备和私有 CA 之间建立信任，必须确保您的设备信任 Jamf Pro 颁发的证书。当客户端设备在注册过程中申请证书时，您可以使用 Jamf Pro AWS Private CA的用户启动注册设置自动在客户端设备上安装您的 CA 证书。

解决配置文件安装失败的问题

如果您在启用 “使用 Jamf Pro 作为SCEP代理进行计算机和移动设备注册” 后遇到配置文件安装失败，请查阅您的设备日志并尝试以下操作。

设备日志错误消息	缓解方法
`Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>`	如果您在尝试注册时收到此错误消息，请重试注册。注册成功可能需要几次尝试。
`Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>`	您的质询密码可能配置错误。确认 Jamf Pro 中的质询密码是否与连接器的质询密码相匹配。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

配置您的MDM系统

配置微软 Intune