本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Jamf Pro 中使用适用于 SCEP 的连接器
您可以将 Jamf Pro 移动设备管理 (MDM) 解决方案 Amazon Private CA 用作外部证书颁发机构 (CA)。本指南提供有关如何在为 SCEP 创建 Amazon Private Certificate Authority 连接器后将 Jamf Pro 配置为 SCEP 代理的说明。
Jamf Pro 要求
您的 Jamf Pro 实施必须满足以下要求。
你必须使用 Jamf Pro 10.0.0 或更高版本。
您必须在 Jamf Pro 中启用 “启用基于证书的身份验证” 设置。您可以在 Jamf Pro 文档的 Jamf Pro 安全设置
页面上找到有关此设置的详细信息。
先决条件
要将适用于 SCEP 的连接器与 Jamf Pro 配合使用,必须先为 SCEP 创建私有 CA 和通用连接器。有关说明,请参阅为 SCEP 设置连接器。
在 Jamf Pro 中配置 Amazon Private CA 为外部 CA
为 SCEP 创建连接器后,必须在 Jamf Pro 中设置 Amazon Private CA 为外部 CA。您可以设置 Amazon Private CA 为全局的外部 CA。或者,您可以使用 Jamf Pro 配置文件 Amazon Private CA 为不同的用例颁发不同的证书,例如向组织中的部分设备颁发证书。有关实现 Jamf Pro 配置文件的指导超出了本文档的范围。
在 Jamf Pro 中配置 Amazon Private CA 为外部 CA
在 Jamf Pro 控制台中,前往 “设置” > “全局” > “PKI 证书”,进入 P KI 证书设置页面。
选择 “管理证书模板” 选项卡。
选择外部 CA。
选择编辑。
(可选)为配置文件选择 “启用 Jamf Pro 作为 SCEP 代理”。您可以使用 Jamf Pro 配置文件颁发针对特定用例量身定制的不同证书。有关如何在 Jamf Pro 中使用配置文件的指导,请参阅 Jamf Pro 文档中的启用 Jamf Pro 作为配置文件的 SCEP 代理
。 选择 “使用支持 SCEP 的外部 CA 注册计算机和移动设备”。
(可选)选择使用 Jamf Pro 作为 SCEP 代理进行计算机和移动设备注册。如果您遇到配置文件安装失败的情况,请参阅解决配置文件安装失败的问题。
将 SCEP 连接器公共 SCEP 网址从连接器的详细信息中复制并粘贴到 Jamf Pro 的 URL 字段。要查看连接器的详细信息,请从 SCEP 连接器列表中选择该连接器
。或者,您可以通过调用GetConnector并复制响应中的 Endpoint值来获取 URL。(可选)在名称字段中输入实例的名称。例如,你可以给它起个名字Amazon Private CA。
为挑战类型选择 “静态”。
复制连接器的质询密码并将其粘贴到挑战字段中。要查看连接器的质询密码,请在 Amazon 控制台中导航到连接器的详细信息页面,然后选择查看密码按钮。或者,您可以通过调用 Password 来获取连接器的质询GetChallenge密码,然后从响应中复制该
Password值。将质询密码粘贴到验证质询字段中。
选择密钥大小。我们建议密钥大小为 2048 或更高。
(可选)选择 “用作数字签名”。选择此项进行身份验证,以授予设备对 Wi-Fi 和 VPN 等资源的安全访问权限。
(可选)选择 “用于密钥加密”。
(可选)在 “指纹” 字段中输入十六进制字符串。有关如何创建私有 CA 指纹的说明,请参阅(可选)添加 CA 指纹。
选择保存。
创建并上传个人资料签名证书
要在 Jamf Pro 中使用 Connector for SCEP,您必须提供与您的连接器关联的私有 CA 的签名和 CA 证书。为此,您可以将包含两个证书的配置文件签名证书密钥库上传到 Jamf Pro。您需要使用内部流程生成证书签名请求 (CSR) 并由其签名 Amazon Private Certificate Authority。以下说明说明了如何创建证书密钥库并将其上传到 Jamf Pro。以下示例使用 OpenSSL,但您可以使用首选方法生成证书签名请求。
使用 OpenSSL,通过运行以下命令生成私钥:
openssl genrsa -out local.key 2048生成证书签名请求 (CSR):
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation使用 Amazon CLI,使用您在第二步中生成的 CSR 颁发签名证书。运行以下命令并在响应中记下证书 ARN:
aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS使用步骤 3 中的证书 ARN 运行以下命令来获取签名证书:
aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt通过运行以下命令获取 CA 证书:
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt使用 OpenSSL,以 p12 格式输出签名证书密钥库。您将使用在第四步和第五步中生成的
crt文件。运行以下命令:openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12出现提示时,输入导出密码。此密码是您的密钥库密码,您稍后需要使用它。
在 Jamf Pro 中,导航到管理证书模板并转到外部 CA 窗格。
在外部 CA 窗格的底部,选择更改签名和 CA 证书。
按照屏幕上的说明上传外部 CA 的签名证书和 CA 证书。
(可选)添加 CA 指纹
添加 CA 指纹允许托管设备验证 CA,并且只能向 CA 申请证书。
从 Amazon Private CA 控制台或使用获取私有 CA 证书GetCertificateAuthorityCertificate。将其另存为
ca.pem文件。在 OpenSSL 中,运行以下命令:
openssl x509 -in ca.pem -sha256 -fingerprint将输出复制并粘贴到前面步骤中提及的 “指纹” 字段中。
(可选)在用户启动的注册期间安装证书
要在用户启动的注册期间将连接器的私有 CA 证书安装到客户端或设备,请配置 Jamf Pro 用户启动的注册设置。这有助于 Jamf Pro 在请求 Amazon Private CA 证书时将您的证书安装到客户端或设备上。你有责任测试你的配置,确保它与你的 SCEP 实现连接器兼容。有关 Jamf Pro 用户启动的注册设置的信息,请参阅 Jamf Pro 文档中的用户启动注册设置
解决配置文件安装失败的问题
如果您在为计算机和移动设备注册启用 “使用 Jamf Pro 作为 SCEP 代理” 后遇到配置文件安装失败,请尝试以下方法。
| 错误消息 | 缓解方法 |
|---|---|
|
如果您在尝试注册时收到此错误消息,请重试注册。注册成功可能需要几次尝试。 |
|
您的质询密码可能配置错误。确认 Jamf Pro 中的质询密码是否与连接器的质询密码相匹配。 |