設定 Jamf Pro for Connector for SCEP - AWS Private Certificate Authority
Jamf Pro

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Jamf Pro for Connector for SCEP

您可以使用 AWS Private CA 作為 Jamf Pro 行動裝置管理 (MDM) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立一般用途連接器後設定 Jamf Pro。

設定 Jamf Pro for Connector for SCEP

本指南提供如何設定 Jamf Pro 以搭配 Connector for SCEP 使用的指示。成功設定 Jamf Pro 和 Connector for SCEP 後,您將能夠向受管裝置發出 AWS Private CA 憑證。

Jamf Pro 要求

您實作 Jamf Pro 必須符合下列要求。

  • 您必須在 Jamf Pro 中啟用啟用憑證型身分驗證設定。您可以在 Jamf Pro 文件的 Jamf Pro 安全設定頁面上找到此設定的詳細資訊。

步驟 1:(選用 - 建議) 取得私有 CA 的指紋

指紋是私有 CA 的唯一識別符,可用於在與其他系統或應用程式建立信任時驗證 CA 的身分。合併憑證授權機構 (CA) 指紋可讓受管裝置驗證其連接的 CA,並僅從預期的 CA 請求憑證。我們建議搭配 Jamf Pro 使用 CA 指紋。

為您的私有 CA 產生指紋

  1. 從 AWS Private CA 主控台或使用 GetCertificateAuthorityCertificate 取得私有 CA 憑證。將其儲存為 ca.pem 檔案。

  2. 安裝 OpenSSL Command Line 公用程式

  3. 在 OpenSSL 中,執行下列命令來產生指紋:

    openssl x509 -in ca.pem -sha256 -fingerprint

步驟 2:在 Jamf Pro 中將 AWS Private CA 設定為外部 CA

為 SCEP 建立連接器後,您必須在 Jamf Pro 中將 AWS Private CA 設定為外部憑證授權機構 (CA)。您可以 AWS Private CA 設定為全域外部 CA。或者,您可以使用 Jamf Pro 組態設定檔,針對不同的使用案例從 發出 AWS Private CA 不同的憑證,例如將憑證核發給組織中的裝置子集。實作 Jamf Pro 組態描述檔的指引超出本文件的範圍。

在 Jamf Pro 中將 AWS Private CA 設定為外部憑證授權機構 (CA)

  1. 在 Jamf Pro 主控台中,前往設定 > 全域 > PKI 憑證,前往 Word 憑證設定頁面。 PKI

  2. 選取管理憑證範本索引標籤。

  3. 選取外部 CA

  4. 選擇 Edit (編輯)。

  5. (選用) 針對組態設定檔選取將 Jamf Pro 啟用為 SCEP Proxy。您可以使用 Jamf Pro 組態描述檔來發行針對特定使用案例量身打造的不同憑證。如需如何在 Jamf Pro 中使用組態設定檔的指引,請參閱 Jamf Pro 文件中的將 Jamf Pro 啟用為組態設定檔的 SCEP Proxy

  6. 選取使用啟用 SCEP 的外部 CA 進行電腦和行動裝置註冊

  7. (選用) 選取使用 Jamf Pro 作為電腦和行動裝置註冊的 SCEP Proxy。如果您遇到設定檔安裝失敗,請參閱 對設定檔安裝失敗進行故障診斷

  8. 將 Connector for SCEP 公有 SCEP URL 從連接器的詳細資訊複製到 Jamf Pro 中的 URL 欄位。若要檢視連接器的詳細資訊,請從 Connectors for SCEP 清單中選擇連接器。或者,您可以呼叫 URL 並從回應複製 Endpoint值來取得 GetConnector

  9. (選用) 在名稱欄位中輸入執行個體的名稱。例如,您可以為其命名 AWS Private CA

  10. 針對挑戰類型選取靜態

  11. 從連接器複製挑戰密碼,並將其貼到挑戰欄位中。連接器可以有多個挑戰密碼。若要檢視連接器的挑戰密碼,請導覽至 AWS 主控台中連接器的詳細資訊頁面,然後選取檢視密碼按鈕。或者,您可以呼叫 GetChallengePassword 並從回應複製Password值,以取得連接器的挑戰密碼 (Word)。如需有關使用挑戰密碼的資訊,請參閱 了解 Connector for SCEP 的考量和限制

  12. 將挑戰密碼貼到驗證挑戰欄位中。

  13. 選擇金鑰大小。我們建議金鑰大小為 2048 或更高。

  14. (選用) 選取使用 做為數位簽章。選取此選項以進行身分驗證,以授予裝置安全存取 Wi-Fi 和 VPN 等資源。

  15. (選用) 選取用於金鑰加密

  16. (選用 - 建議) 在指紋欄位中輸入十六進位字串。建議您新增 CA 指紋,以允許受管裝置驗證 CA,並僅向 CA 請求憑證。如需如何為私有 CA 產生指紋的說明,請參閱 步驟 1:(選用 - 建議) 取得私有 CA 的指紋

  17. 選取 Save (儲存)。

步驟 3:設定組態設定檔簽署憑證

若要將 Jamf Pro 與 Connector for SCEP 搭配使用,您必須為與連接器相關聯的私有 CA 提供簽署和 CA 憑證。您可以將設定檔簽署憑證金鑰存放區上傳到包含兩個憑證的 Jamf Pro。

以下是建立憑證金鑰存放區並將其上傳至 Jamf Pro 的步驟:

  • 使用內部程序產生憑證簽署請求 (CSR)。

  • 取得由與連接器相關聯的私有 CA 簽署的 CSR。

  • 建立包含設定檔簽署和 CA 憑證的設定檔簽署憑證金鑰存放區。

  • 將憑證金鑰存放區上傳到 Jamf Pro。

依照這些步驟,您可以確保裝置可以驗證並驗證由私有 CA 簽署的組態設定檔,從而啟用 Connector for SCEP 與 Jamf Pro。

  1. 下列範例使用 OpenSSL 和 AWS Certificate Manager,但您可以使用您偏好的方法產生憑證簽署請求。

    AWS Certificate Manager console
    使用 ACM 主控台建立設定檔簽署憑證

    1. 使用 ACM 請求私有 PKI 憑證。包括下列項目:

      • 類型 - 使用作為 SCEP MDM系統 Word 憑證授權單位的相同私有 CA 類型。

      • 憑證授權機構詳細資訊區段中,選取憑證授權機構選單,然後選擇充當 Jamf Pro CA 的私有 CA。

      • 網域名稱 - 提供要內嵌至憑證的網域名稱。您可以使用完整網域名稱 (FQDN),例如 www.example.com,或裸網域名稱或頂點網域名稱,例如 example.com(不包括 www.)。

    2. 使用 ACM 匯出您在上一個步驟中建立的私有憑證。選擇匯出憑證、憑證鏈和加密金鑰的檔案。請妥善保管密碼,因為在下一個步驟中需要密碼。

    3. 在終端機中,在包含匯出檔案的資料夾中執行下列命令,以將 PKCS#12 套件寫入您在上一個步驟中建立的複雜密碼編碼output.p12的檔案。

      openssl pkcs12 -export \
  -in "Exported Certificate.txt" \
  -certfile "Certificate Chain.txt" \
  -inkey "Exported Certificate Private Key.txt" \
  -name example \
  -out output.p12 \
  -passin pass:your-passphrase \
  -passout pass:your-passphrase
    AWS Certificate Manager CLI
    使用 ACM 建立設定檔簽署憑證 CLI

    • 下列命令說明如何在 ACM 中建立憑證,然後將檔案匯出為 PKCS#12 套件。

      PCA=<Enter your Private CA ARN>

CERTIFICATE=$(aws acm request-certificate \
    --certificate-authority-arn $PCA \
    --domain-name <any valid domain name, such as test.name> \
    | jq -r '.CertificateArn')

while [[ $(aws acm describe-certificate \
  --certificate-arn $CERTIFICATE \
  | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
  
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
  
openssl pkcs12 -export \
  -in "Certificate.pem" \
  -certfile "CertificateChain.pem" \
  -inkey "PrivateKey.pem" \
  -name example \
  -out output.p12 \
  -passin pass:passphrase \
  -passout pass:passphrase
    OpenSSL CLI
    使用 OpenSSL CLI 建立設定檔簽署憑證

    1. 使用 OpenSSL,執行下列命令來產生私有金鑰。

      openssl genrsa -out local.key 2048

    2. 產生憑證簽署請求 (CSR):

      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation

    3. 使用 AWS CLI,使用您在上一個步驟中產生的 CSR 發出簽署憑證。執行下列命令,並在回應中記下憑證 ARN。

      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS

    4. 執行下列命令以取得簽署憑證。從上一個步驟指定憑證 ARN。

      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt

    5. 執行下列命令以取得 CA 憑證。

      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt

    6. 使用 OpenSSL,以 p12 格式輸出簽署憑證金鑰存放區。使用您在步驟 4 和步驟 5 中產生的 CRT 檔案。

      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12

    7. 出現提示時,請輸入匯出密碼。此密碼是您提供給 Jamf Pro 的金鑰存放區密碼。

  2. 在 Jamf Pro 中,導覽至管理憑證範本,然後前往外部 CA 窗格。

  3. 外部 CA 窗格底部,選取變更簽署和 CA 憑證

  4. 遵循畫面上的指示,上傳外部 CA 的簽署和 CA 憑證。

步驟 4:(選用) 在使用者起始的註冊期間安裝憑證

若要在用戶端裝置與私有 CA 之間建立信任,您必須確保裝置信任 Jamf Pro 發行的憑證。您可以使用 Jamf Pro 的使用者起始註冊設定,在用戶端裝置上在註冊過程中請求憑證時,自動在用戶端裝置上安裝 AWS Private CA您的 CA 憑證。

對設定檔安裝失敗進行故障診斷

如果您在啟用使用 Jamf Pro 作為電腦和行動裝置註冊的 SCEP Proxy 後遇到設定檔安裝失敗,請參閱您的裝置日誌並嘗試下列操作。

裝置日誌錯誤訊息 緩解

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>

如果您在嘗試註冊時收到此錯誤訊息,請重試註冊。在註冊成功之前,可能需要多次嘗試。

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>

您的挑戰密碼可能設定錯誤。驗證 Jamf Pro 中的挑戰密碼是否符合連接器的挑戰密碼。