Jamf Pro と AD CS 間の通信を確立したら、Jamf Pro を使用して AD CS を認証局とし、構成プロファイルを介してお使いの環境のコンピュータとモバイルデバイスに証明書を配布することができます。
SCEP プロトコルを使用して証明書が配布されると、トラフィックは Jamf Pro 経由で AD CS にフローします。これにより、ダイナミックチャレンジおよび自動取り消しの双方によって SCEP ワークフローの証明書のセキュリティが強化されます。
要件
構成プロファイルを配布するための必要条件が満たされていることを確認するには、Jamf Pro ドキュメント の以下のセクションの必要条件をレビューします。
- Jamf Pro のサイドバーで、コンピュータ またはデバイス をクリックします。
- サイドバーの 構成プロファイル をクリックします。
- 新規 をクリックします。
- 一般ペイロードを使用し、プロファイルを適用するレベルや配布方法などの基本設定を構成します。選択されたレベルに適用されるペイロードと設定のみプロファイルに表示されます。
- SCEP サーバと直接通信を行い、CA 証明書を取得できるようにデバイスを有効にするには、SCEP ペイロードを選択し、構成をクリックします。
- 認証局タイプ領域で、AD CS を選択します。
- AD CS 認証局ポップアップメニューから、証明書の配布に使用する AD CS 認証局を選択します。
ポップアップメニューには、PKI 証明書設定の統合用表示名フィールドに入力された表示名がリストされます。
- コネクタで構成したテンプレート名を入力します。
- (オプション) 証明書の有効期限が切れる前に構成プロファイルをデバイスに再配布する場合は、プロファイル再配布ポップアップメニューで有効期限の何日前に再配布するかを選択します。
注:このオプションを構成すると、サブジェクトフィールドに「$PROFILE_IDENTIFIER」が追加されます。このフィールドは、x.509暗号化標準により64文字に制限されています。サブジェクトフィールドが64文字を超える場合、証明書の更新に失敗します。例えば、プロファイル識別子は最大36文字で、$USERNAME や $EMAIL のような29文字程度のペイロード変数を使用すると、64文字の制限を超えてしまいます。
- (オプション) 件名フィールドに適切なキーと値を入力します。
注:PROFILE_IDENTIFIERペイロード変数を使用している場合、件名 フィールドの最初の代入である必要があります。
- (オプション) 必要に応じて、Subject Alternative Name Type (件名の別名タイプ) を選択します。
注:デフォルトでは、 チャレンジタイプが選択されています。
- (オプション) 証明書リクエストを再試行する場合は、再試行と再試行遅延、および証明書の有効期限切れ通知のしきい値のフィールドに値を入力します。
- (オプション) AD CS で使用されている証明書プロファイルの必要条件によっては、追加の設定を構成するよう求められることがあります (例:キーサイズ、デジタル署名として使用、キーの暗号化に使用、指紋など)。
- キーチェーンからの書き出しを許可およびすべての App にアクセスを許可の各チェックボックスで、ワークフローに対して適切な値を選択します。
- スコープ タブをクリックし、適切なデバイスに対して構成プロファイルの スコープを設定します。
- 保存 をクリックします。