SCEP statique pour macOS avec Workspace ONE

La configuration d'une Autorité de certification (AC) vous permet d'émettre des certificats clients à vos appareils ciblés via votre logiciel Gestion des appareils mobiles (MDM). Ces certificats accordent l'accès à des points de terminaison d'API spécifiques qu'Okta Verify utilise pour établir l'identité de l'appareil.

Objectif

Certificat Okta Device Access

Plateforme

macOS

MDM

Omnissa Workspace ONE

URL SCEP

Statique

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

  • Okta Admin Console

  • admin console de Workspace ONE UEM

Commencer cette tâche

  1. Générer une URL SCEP et une clé secrète

  2. Télécharger le certificat x509

  3. Créer un profil SCEP statique Autorité de certification dans Workspace ONE

  4. Ajouter un modèle de certificat

  5. Définir un profil d'appareil pour déployer le certificat AC intermédiaire

  6. Définir un profil d'appareil pour déployer le certificat client

  7. Vérifiez l'installation du certificat

Générer une URL SCEP et une clé secrète

  1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Dans l'onglet Accès à l'appareil, cliquez sur Ajouter une configuration SCEP.

  3. Sur la page de configuration Ajouter SCEP, sélectionnez l'option suivante :

    Type de défi d''URL SCEP : URL SCEP statique.

  4. Cliquez sur Générer.

  5. Copiez et enregistrez l'URL SCEP et la clé secrète dans un endroit sûr.

  6. Cliquez sur Enregistrer.

Télécharger le certificat x509

  1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Sélectionnez l'onglet Autorité de certification.

  3. Pour l'AC Okta Autorité de certification, cliquez sur l'icône Télécharger le certificat  x509 de la colonne Actions.

  4. Enregistrez le fichier de certificat téléchargé. Si nécessaire, renommez le fichier avec une extension .cer.

Ce certificat téléchargé depuis Okta est le certificat intermédiaire de l'Organization. Vous aurez besoin de ce certificat lorsque vous définirez un profil d'appareil dans Workspace ONE.

Créer un Autorité de certification SCEP statique dans Workspace ONE

  1. Connectez-vous à l'Admin Console de Workspace ONE UEM.

  2. Accédez à APPAREILS > Certificats > Autorités de certification.

  3. Cliquez sur + AJOUTER.

  4. Sur la page Autorité de certification – Ajouter/Modifier, saisissez les valeurs suivantes :

    • Nom : saisissez un nom pour l'autorité de certification.

    • Description : facultatif. Saisissez une description pour l'autorité de certification.

    • Type d'autorité : sélectionnez SCEP générique.

    • Fournisseur SCEP : la valeur De base est saisie automatiquement et ne peut pas être modifiée.

    • URL SCEP : saisissez l'URL SCEP que vous avez générée précédemment.

    • Type de challenge : cliquez sur STATIQUE.

    • Challenge statique : saisissez la Clé secrète que vous avez générée précédemment.

    • Confirmer la phrase de challenge : saisissez à nouveau la Clé secrète.

    • Délai d'expiration des nouvelles tentatives : acceptez la valeur par défaut de 30.

    • Nombre maximal de tentatives pendant l'attente : cette valeur indique le nombre de tentatives que le système autorise lorsque l'autorité est en attente. Acceptez la valeur par défaut de  5ou fournissez un nombre personnalisé.

    • Activer le proxy : acceptez la valeur par défaut DÉSACTIVÉ ou sélectionnez ACTIVÉ si votre environnement nécessite un proxy.

  5. Cliquez sur CONNEXION TEST pour tester la connexion avant d'enregistrer.

    Si vous sélectionnez ENREGISTRER avant de cliquer sur TESTER LA CONNEXION, l'erreur Échec du test apparaît.

  6. Lors de l'affichage du message Le test a réussi, cliquez sur ENREGISTRER ET AJOUTER UN MODÈLE.

    Si le test échoue, assurez-vous que vous pouvez accéder à l'URL SCEP que vous avez générée précédemment.

Ajouter un modèle de certificat

  1. Dans Workspace ONE, sélectionnez l'onglet Modèles de requêtes.

  2. Cliquez sur + AJOUTER.

  3. Sur la page Modèle de certification – Ajouter/Modifier, saisissez ce qui suit :

    • Nom : saisissez un nom pour le modèle.

    • Description : facultatif. Saisissez une description pour le modèle.

    • Autorité de certification  : sélectionnez l'AC que vous avez créée à l'étape précédente.

    • Modèle d'émission : laissez vide ou configurez la valeur adaptée pour votre implémentation.

    • Nom d'objet : saisissez un nom d'objet. Par exemple, CN = ODA-{DeviceSerialNumber} {DeviceUid}.

    • Longueur de la clé privée : sélectionnez 2048.

    • Type de clé privée : sélectionnez Signature.

    • Type SAN : facultatif. Configurer si votre environnement l'exige.

    • Renouvellement automatique du certificat : cliquez sur ACTIVÉ.

    • Publier la clé privée : cliquez sur DÉSACTIVÉ.

  4. Cliquez sur ENREGISTRER.

Définir un profil d'appareil pour déployer le certificat AC intermédiaire

Ce profil déploie le certificat AC intermédiaire Okta sur vos appareils afin que les certificats client émis par Okta Autorité de certification soient fiables.

  1. Dans Workspace ONE, accédez à RESSOURCES > Profils et références > Profils.

  2. Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.

  3. Sélectionnez macOS > Profil d'appareil.

  4. Sur la page Général, saisissez les éléments suivants :

    • Nom : saisissez un nom pour le profil d'appareil.

    • Description : facultatif. Saisissez une description pour le profil d'appareil.

    • Déploiement : sélectionnez Géré.

    • Type d'affectation : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

    • Groupes intelligents : sélectionnez les groupes qui contiennent les appareils que vous souhaitez cibler. Commencez à taper le nom du groupe, puis sélectionnez-le dans la liste.

  5. Cliquez sur Identifiants dans le volet de gauche.

  6. Cliquez sur CONFIGURER.

  7. Sur la page Identifiants, saisissez les valeurs suivantes :

    • Source des identifiants : sélectionnez Charger.

    • Certificat : cliquez sur Charger et naviguez jusqu'au certificat x509 que vous avez téléchargé auparavant.

  8. Cliquez sur ENREGISTRER ET PUBLIER.

Définir un profil d'appareil pour déployer le certificat client

Ce profil déploie le certificat client émis par l' AC Okta. L' app Okta Verify sur macOS utilise ce certificat pour établir l'identité de appareil .

  1. Dans Workspace ONE, accédez à RESSOURCES > Profils et références > Profils.

  2. Cliquez sur AJOUTER, puis sélectionnez Ajouter un profil.

  3. Sélectionnez macOS > Profil d'appareil.

  4. Sur la page Général, saisissez les éléments suivants :

    • Nom : saisissez un nom pour le profil, par exemple, Okta Device Access Client Certificate.

    • Description : facultatif. Saisissez une description pour le profil.

    • Déploiement : sélectionnez Géré.

    • Type d'affectation : acceptez la valeur par défaut ou configurez la valeur adaptée pour votre implémentation.

    • Groupes intelligents : saisissez les mêmes groupes que ceux qui ont été spécifiés dans la tâche précédente.

  5. Cliquez sur Identifiants dans le volet de gauche.

  6. Cliquez sur CONFIGURER.

  7. Sur la page Identifiants, saisissez les valeurs suivantes :

  8. Cliquez sur ENREGISTRER ET PUBLIER.

Vérifiez l'installation du certificat

Après avoir déployé les profils, vérifiez que les certificats sont installés sur l' appareil macOS  :

  1. Ouvrez Accès au trousseau. Vous pouvez le rechercher en utilisant Spotlight ou accéder à Applications > Utilitaires > Accès au trousseau.

  2. Dans la section Trousseaux par défaut, sélectionnez Système.

  3. Filtrez par Certificats dans la liste des catégories.

  4. Vérifiez que les certificats suivants sont présents :

    • Certificat client : un certificat qui correspond au format du nom d'objet que vous avez défini dans Ajouter un modèle de certificat.

      Le certificat client doit avoir une valeur Extension de 1.3.6.1.4.1.51150.13.1 et une valeur Données de 02 01 01.

    • Certificat AC intermédiaire : le champ Délivré par du certificat de l'Autorité intermédiaire de l'entreprise est Organization Root Authority.