Configurer Okta en tant que CA avec challenge SCEP statique pour les appareils Windows qui utilisent Workspace ONE

La configuration d'une autorité de certification (CA) vous permet d'émettre des certificats clients à vos appareils Windows ciblés. Cette rubrique décrit comment créer un profil SCEP (Simple Certificate Enrollment Protocol) statique dans Workspace ONE et générer une URL SCEP dans Okta.

Si vous utilisez Workspace ONE, utilisez un SCEP statique. Workspace ONE a des problèmes connus avec le SCEP dynamique.

Pour configurer un type de challenge SCEP délégué (dynamique) pour Windows à l'aide de Microsoft Intune, consultez Configurer Okta en tant que CA avec le challenge SCEP délégué pour Windows à l'aide de MEM.

Avant de commencer

Assurez-vous que vous avez accès à Okta Admin Console.

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Toutes les politiques SCEP MDM doivent être configurées de façon à permettre la redistribution des profils.

Démarrer cette procédure

Configurer l'attestation de gestion et générer une URL SCEP et une clé secrète dans Okta

  1. Dans Okta Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Cliquez sur l'onglet Gestion du point de terminaison.

  3. Cliquez sur Ajouter une plateforme.

  4. Sélectionnez Bureau (Windows et macOS uniquement).

  5. Cliquez sur Suivant.

  6. Sur la page Ajouter une plateforme de gestion des appareils :

    1. Sélectionnez Utiliser Okta en tant qu'autorité de certification.

    2. Sélectionnez URL SCEP statique comme type de challenge SCEP.

    3. Cliquez sur Générer.

    4. Copiez et enregistrez l'URL SCEP Okta et la Clé secrète. Vous saisirez ces valeurs dans Workspace ONE lorsque vous créerez un profil SCEP statique.

      Enregistrez l'URL SCEP et la Clé secrète. C'est la seule fois où elles apparaissent.

  7. Cliquez sur Enregistrer.

Dans Okta, télécharger le certificat x509

Le certificat x509 que vous téléchargez depuis Okta est le certificat intermédiaire de l'organisation.

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Sélectionnez l'onglet Autorité de certification.

  3. Pour l'Autorité de certification Okta CA, cliquez sur l'icône Télécharger le certificat x509 dans la colonne Actions.

    Vous chargerez le certificat vers Workspace ONE lorsque vous définirez un profil d'appareil.

Dans Workspace ONE, créer un profil SCEP statique.

Configurez Okta CA en tant qu'autorité de certification dans Workspace ONE afin de pouvoir déployer des profils de certificat via le canal de gestion.

  1. Si ce n'est pas déjà fait, connectez-vous à Workspace ONE en tant qu'administrateur.

  2. Dans Workspace ONE, cliquez sur APPAREILS (barre de ruban gauche).

  3. Cliquez sur CertificatsAutorités de certification.

  4. Cliquez sur + AJOUTER.

  5. Sur la page Autorité de certification – Ajouter/Modifier, saisissez les valeurs suivantes :

    • Nom : saisissez un nom pour l'autorité de certification.

    • Description : facultatif. Saisissez une description pour l'autorité de certification.

    • Type d'autorité : sélectionnez SCEP générique.

    • Fournisseur SCEP : la valeur De base est saisie automatiquement et ne peut pas être modifiée.

    • URL SCEP : copiez et collez l'URL SCEP à partir de laquelle vous avez généré une URL SCEP et une clé secrète.

    • Type de challenge : cliquez sur STATIQUE.

    • Challenge statique : copiez et collez la clé secrète à partir de laquelle vous avez généré une URL SCEP et une clé secrète.

    • Confirmer la phrase de challenge : copiez et collez la clé secrète obtenue lorsque vous avez généré une URL SCEP et une clé secrète.

    • Délai d'expiration des nouvelles tentatives : acceptez la valeur par défaut de 30.

    • Nombre maximal de tentatives pendant l'attente : acceptez la valeur par défaut de 5 ou spécifiez un nombre différent de tentatives que le système autorise lorsque l'autorité est en attente.

    • Activer le proxy : acceptez la valeur par défaut DÉSACTIVÉ ou sélectionnez ACTIVÉ si cela convient à votre environnement. Si vous sélectionnez ACTIVÉ, Workspace ONE UEM agit en tant que proxy entre l'appareil et le point de terminaison SCEP défini dans la configuration de l'autorité de certification.

  6. Cliquez sur TESTER LA CONNEXION. Si vous sélectionnez ENREGISTRER avant TESTER LA CONNEXION, l'erreur Échec du test apparaît.

  7. Après l'affichage du message Le test a réussi, cliquez sur ENREGISTRER ET AJOUTER UN MODÈLE.

    Si le test échoue, assurez-vous que vous pouvez accéder à l'URL SCEP Okta obtenue lorsque vous avez généré une URL SCEP et une clé secrète.

Dans Workspace ONE, ajouter/modifier un modèle de certificat

Dans cette tâche, vous ajouterez un modèle de requête CA après avoir créé un profil SCEP statique.

  1. Dans Workspace ONE, sélectionnez l'onglet Modèles de requêtes.

  2. Cliquez sur + AJOUTER.

  3. Sur la page Modèle de certification – Ajouter/Modifier, saisissez ce qui suit :

    • Nom : saisissez un nom pour le modèle.

    • Description : facultatif. Saisissez une description pour le modèle.

    • Autorité de certification : sélectionnez la CA que vous avez créée dans créer un profil SCEP statique.

    • Modèle d'émission : laissez vide ou configurez la valeur adaptée pour votre implémentation.

    • Nom d'objet : saisissez un nom d'objet. Par exemple, CN = {EmailAddress} managementAttestation {DeviceUid}.

      Okta n'exige pas que le nom de l'objet ait un format particulier. Choisissez un nom qui indique que le certificat est utilisé comme signal de gestion des appareils dans Okta. En tant que meilleure pratique, vous pouvez également inclure des variables de profil fournies par Workspace ONE pour inclure l'identifiant du dispositif (UDID) et l'identifiant de l'utilisateur. Pour obtenir une liste des variables prises en charge, consultez le document Workspace ONE Workspace ONE Lookup Values.

    • Longueur de la clé privée : sélectionnez 2048.

    • Type de clé privée : sélectionnez Signature.

    • Type SAN : sans objet.

    • Renouvellement automatique du certificat : cliquez sur DÉSACTIVÉ.

    • Publier la clé privée : cliquez sur DÉSACTIVÉ.

  4. Cliquez sur ENREGISTRER.

Définir un profil d'appareil pour déployer l'autorité de certification intermédiaire Okta vers le magasin intermédiaire sur les appareils

  1. Dans Workspace ONE, cliquez sur RESSOURCES dans la barre de ruban gauche.
  2. Cliquez sur Profils et lignes de baseProfils.
  3. Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.
  4. Sélectionnez WindowsBureau WindowsProfil d'appareil.
  5. Sur la page Général, saisissez les éléments suivants :
    • Nom : saisissez un nom pour le profil d'appareil.
    • Description : facultatif. Saisissez une description pour le profil d'appareil.
    • Déploiement : sélectionnez Géré.
    • Type d'affectation : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
    • Autoriser la suppression : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
    • Géré par : saisissez la personne ou le groupe ayant un accès administratif au profil.
    • Groupes intelligents : commencez à taper le nom du groupe, puis sélectionnez-le dans la liste.
    • Exclusions : excluez des groupes du profil. Acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
    • Critères d'affectation supplémentaires : vous pouvez planifier un calendrier de déploiement.
    • Date de suppression : vous pouvez spécifier la date à laquelle le profil est supprimé de l'appareil.
  6. Cliquez sur Identifiants dans le volet de gauche.
  7. Cliquez sur CONFIGURER.
  8. Sur la page Identifiants, saisissez les valeurs suivantes :
    • Source des identifiants : sélectionnez Charger.
    • Certificat : cliquez sur Charger et naviguez jusqu'au certificat que vous avez téléchargé à la tâche 2.
    • Emplacement de la clé : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.
    • Magasin de certificat : sélectionnez Intermédiaire.
  9. Cliquez sur ENREGISTRER ET PUBLIER.

Définir un profil d'utilisateur pour déployer le certificat client émis par l'autorité de certification Okta vers le magasin personnel sur les appareils pour l'attestation de gestion

Cette tâche crée une charge utile de gestion qui pousse les informations et les informations d'identification du certificat client vers le client. Ce dernier peut alors se connecter à Okta et demander un nouveau certificat client. Le certificat client est utilisé pour l'attestation de gestion dans le cadre des flux activés par Okta Verify.

  1. Dans Workspace ONE, cliquez sur RESSOURCES dans la barre de ruban gauche.

  2. Cliquez sur Profils et lignes de baseProfils.

  3. Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.

  4. Sélectionnez WindowsBureau WindowsProfil utilisateur.

  5. Sur la page Général, saisissez les éléments suivants :

    • Nom : saisissez un nom pour le profil utilisateur.

    • Description : facultatif. Saisissez une description pour le profil utilisateur.

    • Déploiement : sélectionnez Géré.

    • Type d'affectation : sélectionnez Auto.

    • Autoriser la suppression : sélectionnez Toujours.

    • Géré par : facultatif. Saisissez les noms des autres administrateurs.

    • Groupes intelligents : saisissez le ou les mêmes groupes que ceux spécifiés dans la tâche 5.

    • Exclusions : excluez des groupes du profil. Acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

    • Critères d'affectation supplémentaires : vous pouvez planifier un calendrier de déploiement.

    • Date de suppression : vous pouvez spécifier la date à laquelle le profil est supprimé de l'appareil.

  6. Cliquez sur Identifiants dans le volet de gauche.

  7. Cliquez sur CONFIGURER.

  8. Sur la page Identifiants, saisissez les valeurs suivantes :

    • Source des identifiants : sélectionnez Autorité de certification définie.

    • Autorité de certification : sélectionnez la même autorité de certification que vous avez configurée à la tâche 3.

    • Emplacement de la clé : sélectionnez TPM si présent pour prendre en charge les appareils avec ou sans TPM.

    • Magasin du certificat : sélectionnez Personnel.

  9. Cliquez sur ENREGISTRER ET PUBLIER.

Sur un ordinateur Windows, vérifiez l'installation du certificat.

  1. Sur un ordinateur Windows, vérifiez que le certificat du client a été installé :
    1. Sur l'ordinateur Windows, cliquez sur Démarrer, puis saisissez cert.
    2. Cliquez sur Gérer les certificats de l'utilisateur.
    3. Dans Certificats – Utilisateur actuel, cliquez sur PersonnelCertificats.
    4. Vérifiez que le certificat du client existe.
  2. Vérifiez l'autorité de certification (CA) :
    1. Dans Certificats – Ordinateur local, sélectionnez Autorité de certification intermédiaireCertificats.
    2. Dans la colonne Délivré à, trouvez Autorité intermédiaire de l'organisation.
    3. Assurez-vous que la colonne Délivré par spécifie Autorité racine de l'organisation pour Autorité intermédiaire de l'organisation.

Étapes suivantes