Passer au contenu principal

Comment déployer vos certificats avec Jamf Pro ?

Publié dans: Jamf Pro, Enterprise

Garantir la confiance est primordial dans notre monde numérique afin de pouvoir accomplir en toute sécurité les tâches quotidiennes telles que naviguer sur internet, se connecter aux services de courriers électroniques, ou même se connecter à un réseau.

Les identifiants basiques, tels qu’un nom d'utilisateur et un mot de passe, ne sont plus suffisants aujourd’hui pour établir cette confiance et empêcher ainsi un accès non-autorisé aux systèmes protégés. Ce sont les certificats qui permettent de vérifier l'identité, d'établir la confiance et de transmettre des données chiffrées entre les appareils et les serveurs.

Certificats et Jamf Pro

Dans Jamf Pro, les certificats jouent souvent un rôle central dans les fonctionnalités nécessaires à la gestion des appareils. Le certificat SSL Tomcat, par exemple, est utilisé par le serveur Web pour afficher une page web sécurisée lorsqu’un ordinateur ou un appareil tente de se connecter à l’URL Jamf Pro. C’est-à-dire qu’au moment de l’accès, l'appareil confirme que le site web a été vérifié par une source de confiance reconnue - une autorité de certification racine (CA) - avant de permettre au navigateur de se connecter à ce site.

De même, la gestion des appareils mobiles (MDM) repose sur une communication basée sur des certificats pour établir une connexion entre les appareils et le serveur Jamf Pro. Lors de la mise en place d’une solution MDM, vous ouvrez une voie de communication sécurisée afin de transmettre les commandes de gestion de Jamf Pro aux appareils.

En tant qu'administrateur, vous aurez peut-être besoin d’autoriser une communication fiable entre vos appareils et un autre service ou site web. Jamf Pro peut être utilisé pour installer des certificats sur vos appareils à l'aide de profils de configuration. Les profils de configuration sont des fichiers XML qui vous permettent de définir les paramètres de vos appareils Apple gérés. Examinons trois cas d’utilisations des certificats :

Déployer un certificat unique

Utiliser un serveur AD pour se connecter au VPN

Exploiter le serveur SCEP pour s'authentifier auprès d'un réseau sans fil (802.1x)

1. Déployer un certificat unique

Le déploiement d'un certificat simple peut se faire via un profil de configuration en téléchargeant le fichier du certificat et en configurant ses paramètres dans le payload Certificats. Une fois configuré, le profil peut être déployé aux appareils, ou aux groupes d’appareils, qui nécessitent le certificat. Pour les profils macOS, si le certificat doit être ajouté au conteneur Système du Trousseau d’Accès, il faudra en faire un profil de configuration de niveau ordinateur (Computer level dans l’onglet Général) ; s’il doit être ajouté dans le conteneur Session, un profil de configuration de niveau utilisateur.

2. Utilisation d'un serveur AD pour se connecter au VPN

Pour configurer un profil avec VPN qui nécessite que l'utilisateur reçoive un certificat de l'AD pour se connecter, vous pouvez créer un profil contenant à la fois un payload de configuration du VPN et un payload de certificat AD. Ces deux payloads doivent se trouver dans le même profil de configuration pour que la connexion se fasse sans intervention de l'utilisateur. Les profils dans Jamf Pro peuvent également utiliser des variables pour renseigner automatiquement les informations nécessaires au certificat. Vous trouverez plus d’information sur ces variables iOS et macOS dans le guide d’administration Jamf Pro.

3. Tirer parti du serveur SCEP pour s'identifier auprès d'un réseau sans fil

La connectivité réseau au niveau de l'entreprise utilise généralement la norme 802.1x afin de fournir un niveau de sécurité supplémentaire aux connexions câblées et sans fil. Au sein de Jamf Pro, vous pouvez déployer un profil pour configurer une connexion réseau sur un appareil et fournir des instructions pour que celui-ci installe un certificat émis par un serveur SCEP (Simple Certificate Enrollment Protocol) pour émettre des certificats sur des appareils à grande échelle.

Jamf Pro utilise SCEP lors du processus d’enrôlement des appareils pour émettre des certificats sur ces derniers. Vous pouvez consulter les certificats émis par Jamf Pro dans la section Certificats PKI des paramètres système de Jamf Pro. En fonction de votre environnement, vous pouvez explorer les options supplémentaires pour configurer une autorité de certification externe à utiliser pour l'émission de certificats, ainsi que la possibilité de configurer Jamf Pro pour qu'il devienne un proxy SCEP. Jamf offre aussi l’opportunité d’intégrer nativement Symantec PKI et Entrust SCEP.

Les certificats sont un composant majeur de toute stratégie informatique. Jamf Pro peut constituer le cœur de votre déploiement de certificats et de la gestion de votre cycle de vie.

Vous n'êtes pas déjà client de Jamf Pro ? Demandez une version d’essai aujourd'hui.