本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定適用於 SCEP 連接器的 Jamf Pro
您可以使用 AWS 私有 CA 做為 Jamf Pro 行動裝置管理 (MDM) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立一般用途連接器後設定 Jamf Pro。
## 設定適用於 SCEP 連接器的 Jamf Pro
本指南提供如何設定 Jamf Pro 以搭配 Connector for SCEP 使用的指示。成功設定適用於 SCEP 的 Jamf Pro 和 Connector 後,您將能夠向受管裝置發行 AWS 私有 CA 憑證。
### Jamf Pro 需求
您的 Jamf Pro 實作必須符合下列要求。
+ 您必須在 Jamf Pro 中啟用**啟用憑證型身分驗證**設定。您可以在 Jamf Pro 文件的 Jamf Pro [安全設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)頁面上找到此設定的詳細資訊。
### 步驟 1:(選用 - 建議) 取得私有 CA 的指紋
指紋是私有 CA 的唯一識別符,可用於在與其他系統或應用程式建立信任時驗證 CA 的身分。整合憑證授權機構 (CA) 指紋可讓受管裝置驗證其連線的 CA,並僅從預期的 CA 請求憑證。我們建議搭配 Jamf Pro 使用 CA 指紋。
**為您的私有 CA 產生指紋**
1. 從 AWS 私有 CA 主控台或使用 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 取得私有 CA 憑證。將其儲存為 `ca.pem` 檔案。
1. 安裝 [OpenSSL Command Line 公用程式](https://wiki.openssl.org/index.php/Command_Line_Utilities)。
1. 在 OpenSSL 中,執行下列命令來產生指紋:
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### 步驟 2:在 Jamf Pro 中將 AWS 私有 CA 設定為外部 CA
建立 SCEP 連接器之後,您必須在 Jamf Pro 中將 AWS 私有 CA 設定為外部憑證授權機構 (CA)。您可以將 AWS 私有 CA 設定為全域外部 CA。或者,您可以使用 Jamf Pro 組態描述檔,針對不同的使用案例從 發行 AWS 私有 CA 不同的憑證,例如將憑證發行到組織中的裝置子集。實作 Jamf Pro 組態描述檔的指引超出本文件的範圍。
**在 Jamf Pro 中將 AWS 私有 CA 設定為外部憑證授權機構 (CA)**
1. 在 Jamf Pro 主控台中,前往**設定** > **全域** > **PKI 憑證,前往 PKI 憑證設定**頁面。 ****
1. 選取**管理憑證範本**索引標籤。
1. 選取**外部 CA**。
1. 選擇 **Edit** (編輯)。
1. (選用) 選取**將 Jamf Pro 啟用為組態設定檔的 SCEP Proxy**。您可以使用 Jamf Pro 組態描述檔來發行針對特定使用案例量身打造的不同憑證。如需如何在 Jamf Pro 中使用組態設定檔的指引,請參閱 [Jamf Pro 文件中的將 Jamf Pro 啟用為組態設定檔的 SCEP Proxy](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)。
1. 選取**使用已啟用 SCEP 的外部 CA 進行電腦和行動裝置註冊**。
1. (選用) 選取**使用 Jamf Pro 做為電腦和行動裝置註冊的 SCEP Proxy**。如果您遇到設定檔安裝失敗,請參閱 [對設定檔安裝失敗進行故障診斷](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。
1. 將 Connector for SCEP **URL** 從連接器的詳細資訊複製並貼到 Jamf Pro 中的 **URL** 欄位。若要檢視連接器的詳細資訊,請從適用於 [SCEP 的連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 並從回應複製該`Endpoint`值來取得 URL。
1. (選用) 在名稱欄位中輸入執行個體**的名稱**。例如,您可以將其命名為 **AWS 私有 CA**。
1. 針對挑戰類型選取**靜態**。
1. 從連接器複製挑戰密碼,並將其貼到**挑戰**欄位中。連接器可以有多個挑戰密碼。若要檢視連接器的挑戰密碼,請導覽至 AWS 主控台中連接器的詳細資訊頁面,然後選取**檢視密碼**按鈕。或者,您可以呼叫 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) (GetChallengePassword) 並從回應複製`Password`值,以取得連接器的挑戰密碼。如需使用挑戰密碼的詳細資訊,請參閱 [了解 Connector for SCEP 的考量和限制考量和限制](c4scep-considerations-limitations.md)。
1. 將挑戰密碼貼到**驗證挑戰**欄位中。
1. 選擇**金鑰大小**。我們建議金鑰大小為 2048 或更高。
1. (選用) 選取**使用 做為數位簽章**。選取此選項以進行身分驗證,以授予裝置安全存取 Wi-Fi 和 VPN 等資源的權限。
1. (選用) 選取**用於金鑰加密**。
1. (選用 - 建議) 在**指紋**欄位中輸入十六進位字串。我們建議您新增 CA 指紋,以允許受管裝置驗證 CA,並僅向 CA 請求憑證。如需如何為私有 CA 產生指紋的說明,請參閱 [步驟 1:(選用 - 建議) 取得私有 CA 的指紋](#connector-for-scep-jamf-pro-ca-fingerprint)。
1. 選取**儲存**。
### 步驟 3:設定組態設定檔簽署憑證
若要使用 Jamf Pro 搭配 Connector for SCEP,您必須為與連接器相關聯的私有 CA 提供簽署和 CA 憑證。您可以透過將設定檔簽署憑證金鑰存放區上傳到包含兩個憑證的 Jamf Pro 來執行此操作。
以下是建立憑證金鑰存放區並將其上傳至 Jamf Pro 的步驟:
+ 使用內部程序產生憑證簽署請求 (CSR)。
+ 取得由與連接器相關聯之私有 CA 簽署的 CSR。
+ 建立包含設定檔簽署和 CA 憑證的設定檔簽署憑證金鑰存放區。
+ 將憑證金鑰存放區上傳至 Jamf Pro。
透過遵循這些步驟,您可以確保裝置可以驗證和驗證由私有 CA 簽署的組態設定檔,以使用 Connector for SCEP 搭配 Jamf Pro。
1. 下列範例使用 OpenSSL 和 AWS Certificate Manager,但您可以使用您偏好的方法產生憑證簽署請求。
------
#### [ AWS Certificate Manager console ]
**使用 ACM 主控台建立設定檔簽署憑證**
1. 使用 ACM [請求私有 PKI 憑證]()。包含下列項目:
+ **類型** - 使用做為 MDM 系統 SCEP 憑證授權單位的相同私有 CA 類型。
+ 在**憑證授權機構詳細資訊**區段中,選取**憑證授權機構**選單,然後選擇做為 Jamf Pro CA 的私有 CA。
+ **網域名稱** - 提供要內嵌至憑證的網域名稱。您可以使用完整網域名稱 (FQDN),例如 `www.example.com`,或是裸機或頂點網域名稱,例如 `example.com`(不包括 `www.`)。
1. 使用 ACM 匯出[您在上述步驟中建立的私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。選擇**匯出憑證、憑證鏈和加密金鑰**的檔案。請備妥**密碼短語**,因為您將在下一個步驟中需要它。
1. 在終端機中,在包含匯出檔案的資料夾中執行下列命令,將 PKCS\#12 套件寫入您在上一個步驟中建立的密碼短語編碼的`output.p12`檔案中。
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:{{your-passphrase}} \
-passout pass:{{your-passphrase}}
```
------
#### [ AWS Certificate Manager CLI ]
**使用 ACM CLI 建立設定檔簽署憑證**
+ 下列命令說明如何在 ACM 中建立憑證,然後將檔案匯出為 PKCS\#12 套件。
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name <{{any valid domain name, such as test.name}}> \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name {{example}} \
-out output.p12 \
-passin pass:{{passphrase}} \
-passout pass:{{passphrase}}
```
------
#### [ OpenSSL CLI ]
**使用 OpenSSL CLI 建立設定檔簽署憑證**
1. 使用 OpenSSL,執行下列命令來產生私有金鑰。
```
openssl genrsa -out local.key 2048
```
1. 產生憑證簽署請求 (CSR):
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. 使用 AWS CLI,使用您在上一個步驟中產生的 CSR 發行簽署憑證。執行下列命令,並在回應中記下憑證 ARN。
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 執行下列命令以取得簽署憑證。指定上一個步驟的憑證 ARN。
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 執行下列命令以取得 CA 憑證。
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. 使用 OpenSSL,以 p12 格式輸出簽署憑證金鑰存放區。使用您在步驟 4 和步驟 5 中產生的 CRT 檔案。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. 出現提示時,請輸入匯出密碼。此密碼是您提供給 Jamf Pro 的金鑰存放區密碼。
------
1. 在 Jamf Pro 中,導覽至**管理憑證範本**,然後前往**外部 CA** 窗格。
1. 在**外部 CA** 窗格底部,選取**變更簽署和 CA 憑證**。
1. 遵循畫面上的指示,上傳外部 CA 的簽署和 CA 憑證。
### 步驟 4:(選用) 在使用者起始的註冊期間安裝憑證
若要在用戶端裝置與私有 CA 之間建立信任,您必須確保裝置信任 Jamf Pro 發行的憑證。您可以使用 Jamf Pro [的使用者起始註冊設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.),在用戶端裝置上在註冊過程中請求憑證時,自動在用戶端裝置上安裝 AWS 私有 CA的 CA 憑證。
### 對設定檔安裝失敗進行故障診斷
如果您在啟用**使用 Jamf Pro 做為電腦和行動裝置註冊的 SCEP Proxy** 後遇到設定檔安裝失敗,請參閱您的裝置日誌,並嘗試下列動作。
| 裝置日誌錯誤訊息 | 緩解 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 如果您在嘗試註冊時收到此錯誤訊息,請重試註冊。註冊成功之前,可能需要多次嘗試。 |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 您的挑戰密碼可能設定錯誤。驗證 Jamf Pro 中的挑戰密碼是否符合連接器的挑戰密碼。 |