SCEP プロトコルを使用したベナファイ証明書の配布

Jamf Pro と Venafi TPP の間の通信を確立すると、Jamf Pro を使用してベナファイを認証局 (CA) とし、構成プロファイルを介してお使いの環境のコンピュータとモバイルデバイスに証明書を配布することができます。

SCEP プロトコルを使用して証明書を配布すると、トラフィックが直接 Venafi TPP に直接送信されます。トラフィックは Jamf Pro を経由したプロキシではありません。これにより、ダイナミックチャレンジおよび自動取り消しの双方によって SCEP ワークフローの証明書のセキュリティが強化されます。

Requirements

構成プロファイルを配布するための要件が満たされていることを確認するには、Jamf Pro ドキュメントの以下のセクションの要件を参照します。

Jamf Pro のサイドバーで、コンピュータまたはデバイスをクリックします。
サイドバーの構成プロファイルをクリックします。
新規をクリックします。
一般ペイロードを使用し、プロファイルを適用するレベルや配布方法などの基本設定を構成します。選択されたレベルに適用されるペイロードと設定のみプロファイルに表示されます。
SCEP サーバと直接通信を行い、CA 証明書を取得できるようにデバイスを有効にするには、SCEP ペイロードを選択し、Configure (構成) をクリックします。
Venafi TPP サーバのホスト名を入力し、URL (例：https://<venafi-hostname>/certsrv/macOS/) に「certsrv/macOS」を追加します。
Name (名前) フィールドのベナファイ構成プロファイルに表示される Certificate Authority (CA) の名称を入力してください。
Note:
Redistribute Profile (プロファイル再配布) オプションは Venafi では使用できません。
Subject (件名) フィールドに適切なキーを入力と値を入力します。
Note:
PROFILE_IDENTIFIERペイロード変数を使用している場合、件名フィールドの最初の代入である必要があります。
必要に応じて、Subject Alternative Name Type (件名の別名タイプ) を選択します。
Challenge Type (チャレンジタイプ) ポップアップメニューから "Dynamic-Venafi" を選択します。
使用するベナファイ PKI Instance (PKI インスタンス) を選択します。
Username (ユーザ名) および Password (パスワード) を入力し、SCEP Admin (SCEP 管理者) ページ (例：https://<venafi-hostname>/certsrv/mscep_admin) にログインします。
Note:
Venafi TPP のダイナミックチャレンジ設定により、一度に十分なダイナミックチャレンジが可能となり、デバイスが証明書を受け取るための適切な期間を設けることができます。
証明書の要求を再試行する場合は、Retries (再試行) および RetryDelay (遅延再試行)、Certificate Expiration Notification Threshold (証明書の有効期限通知の閾値) フィールドに値を入力します。
Venafi TPP で使用されている証明書プロファイルの要件によっては、追加の設定を構成することが求められることがあります (Key Size (キーサイズ)、Fingerprint (指紋)、Use a digital signature (デジタル署名を使用)、Use for key encipherment (キーの暗号化に使用) など)。
Allow export from keychain (キーチェーンからのエクスポートを許可) および Allow all apps access (すべての App にアクセスを許可) の各チェックボックスで、ワークフローに対して適切な値を選択します。
スコープタブをクリックし、適切なデバイスに対して構成プロファイルのスコープを設定します。
保存をクリックします。