Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Konfigurasikan sistem MDM Anda untuk Konektor untuk SCEP
<a name="using-connector-for-scep-with-mdm"></a>

Simple Certificate Enrollment Protocol (SCEP) adalah protokol standar yang digunakan untuk pendaftaran dan pembaruan sertifikat. Konektor untuk SCEP adalah server SCEP berbasis [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) yang secara otomatis mengeluarkan sertifikat dari klien SCEP AWS Private Certificate Authority Anda. Saat Anda membuat konektor, Connector for SCEP menyediakan titik akhir HTTPS bagi klien SCEP untuk meminta sertifikat. Klien mengautentikasi menggunakan kata sandi tantangan yang disertakan sebagai bagian dari permintaan penandatanganan sertifikat (CSR) mereka ke layanan. Anda dapat menggunakan Connector for SCEP dengan sistem manajemen perangkat seluler (MDM) yang populer, termasuk Microsoft Intune, Omnissa Workspace ONE dan Jamf Pro, untuk mendaftarkan perangkat seluler. Ini dirancang untuk bekerja dengan klien atau titik akhir yang mendukung SCEP.

Konektor untuk SCEP menawarkan dua jenis konektor—tujuan umum dan Konektor untuk SCEP untuk Microsoft Intune. Bagian berikut menjelaskan cara kerjanya, dan cara mengonfigurasi sistem MDM Anda untuk menggunakannya.

## Konektor tujuan umum
<a name="connector-for-scep-how-it-works-general-purpose"></a>

Konektor tujuan umum dirancang untuk bekerja dengan titik akhir perangkat seluler yang mendukung SCEP, kecuali untuk Microsoft Intune, yang memiliki konektor khusus. Dengan konektor tujuan umum, seperti Jamf Pro atau Omnissa Workspace ONE, Anda mengelola kata sandi tantangan SCEP. Diagram berikut menggunakan sistem manajemen perangkat seluler (MDM) sebagai contoh, tetapi fungsi yang sama berlaku untuk sistem atau perangkat berkemampuan SCEP lainnya.

![\[Menjelaskan cara kerja Konektor untuk konektor tujuan umum SCEP.\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/images/GenPurpose.jpg)


1. Sistem MDM (atau perangkat atau sistem lain) mengirimkan profil SCEP ke klien seluler. Profil SCEP berisi parameter konfigurasi yang menentukan profil sertifikat, seperti periode validitas sertifikat, kata sandi tantangan, dan informasi lain yang relevan dengan penerbitan sertifikat.

1. Klien seluler meminta sertifikat dan juga mengirimkan permintaan penandatanganan sertifikat (CSR) yang menyertakan kata sandi tantangan.

1. Konektor untuk SCEP memvalidasi kata sandi tantangan. Jika valid, maka layanan meminta sertifikat dari AWS Private CA atas nama klien seluler.

1. AWS Private CA mengeluarkan sertifikat dan mengirimkannya ke Konektor untuk SCEP.

1. Konektor untuk SCEP mengirimkan sertifikat yang dikeluarkan ke klien seluler.

## AWS Private CA Konektor untuk SCEP untuk Microsoft Intune
<a name="connector-for-scep-how-it-works-intune"></a>

AWS Private CA Konektor untuk SCEP untuk Microsoft Intune dirancang untuk digunakan dengan Microsoft Intune. Dengan jenis konektor Connector for SCEP for Microsoft Intune, Anda akan menggunakan Microsoft Intune untuk mengelola kata sandi tantangan SCEP Anda. Untuk informasi selengkapnya tentang penggunaan Connector for SCEP dengan Microsoft Intune, lihat. [Konfigurasikan Microsoft Intune untuk Konektor untuk SCEPKonfigurasikan Microsoft Intune](connector-for-scep-intune.md)

Untuk menggunakan Connector for SCEP dengan Microsoft Intune, Anda harus mengaktifkan fungsionalitas tertentu menggunakan Microsoft Intune API, dan memiliki lisensi Microsoft Intune yang valid. Anda juga harus meninjau [Kebijakan Perlindungan Aplikasi Microsoft Intune®](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy).

![\[Bagaimana Konektor untuk SCEP untuk Microsoft Intune bekerja.\]](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/images/Intune.jpg)


1. Microsoft Intune mengirimkan profil SCEP ke klien seluler. Profil berisi kata sandi tantangan terenkripsi yang ditempatkan klien seluler ke dalam CSR.

1. Klien seluler meminta sertifikat dan mengirimkan CSR ke Connector untuk SCEP.

1. Konektor untuk SCEP mengirimkan CSR ke Microsoft Intune untuk otorisasi.

1. Microsoft Intune mendekripsi kata sandi tantangan di CSR. Jika valid, Microsoft Intune mengirimkan persetujuan ke Connector untuk SCEP untuk menerbitkan sertifikat ke klien seluler.

1. Konektor untuk SCEP meminta sertifikat dari AWS Private CA atas nama klien seluler.

1. AWS Private CA mengeluarkan sertifikat dan mengirimkannya ke Konektor untuk SCEP.

1. Konektor untuk SCEP mengirimkan sertifikat yang dikeluarkan ke klien seluler.

**Topics**
+ [Konektor tujuan umum](#connector-for-scep-how-it-works-general-purpose)
+ [AWS Private CA Konektor untuk SCEP untuk Microsoft Intune](#connector-for-scep-how-it-works-intune)
+ [Konfigurasikan Jamf Pro untuk Konektor untuk SCEP](connector-for-scep-general-purpose.md)
+ [Konfigurasikan Microsoft Intune untuk Konektor untuk SCEP](connector-for-scep-intune.md)
+ [Konfigurasikan Omnissa Workspace ONE untuk Konektor untuk SCEP](connector-for-scep-omnissa.md)

# Konfigurasikan Jamf Pro untuk Konektor untuk SCEP
<a name="connector-for-scep-general-purpose"></a>

Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem manajemen perangkat seluler Jamf Pro (MDM). Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Jamf Pro setelah Anda membuat konektor tujuan umum.

## Konfigurasikan Jamf Pro untuk Konektor untuk SCEP
<a name="connector-for-scep-jamf-pro"></a>

Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Jamf Pro untuk digunakan dengan Konektor untuk SCEP. Setelah berhasil mengonfigurasi Jamf Pro dan Connector untuk SCEP, Anda akan dapat mengeluarkan AWS Private CA sertifikat ke perangkat yang dikelola.

### Persyaratan Jamf Pro
<a name="connector-for-scep-jamf-pro-requirements"></a>

Implementasi Jamf Pro Anda harus memenuhi persyaratan berikut.
+ Anda harus mengaktifkan pengaturan **Aktifkan otentikasi berbasis sertifikat** di Jamf Pro. Anda dapat menemukan detail tentang pengaturan ini di halaman [Pengaturan Keamanan](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html) Jamf Pro di dokumentasi Jamf Pro.

### Langkah 1: (Opsional - disarankan) Dapatkan sidik jari CA pribadi Anda
<a name="connector-for-scep-jamf-pro-ca-fingerprint"></a>

Sidik jari adalah pengidentifikasi unik untuk CA pribadi Anda yang dapat digunakan untuk memverifikasi identitas CA Anda saat membangun kepercayaan dengan sistem atau aplikasi lain. Memasukkan sidik jari otoritas sertifikat (CA) memungkinkan perangkat yang dikelola untuk mengotentikasi CA yang mereka sambungkan dan meminta sertifikat semata-mata dari CA yang diantisipasi. Sebaiknya gunakan sidik jari CA dengan Jamf Pro.

**Untuk menghasilkan sidik jari untuk CA pribadi Anda**

1. Dapatkan sertifikat CA pribadi baik dari AWS Private CA konsol atau dengan menggunakan [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html). Simpan sebagai `ca.pem` file.

1. Instal Utilitas [Baris Perintah OpenSSL](https://wiki.openssl.org/index.php/Command_Line_Utilities).

1. Di OpenSSL, jalankan perintah berikut untuk menghasilkan sidik jari:

   ```
   openssl x509 -in ca.pem -sha256 -fingerprint
   ```

### Langkah 2: Konfigurasikan AWS Private CA sebagai CA eksternal di Jamf Pro
<a name="connector-for-scep-jamf-pro-configure-pca"></a>

Setelah Anda membuat konektor untuk SCEP, Anda harus menetapkan AWS Private CA sebagai otoritas sertifikat eksternal (CA) di Jamf Pro. Anda dapat mengatur AWS Private CA sebagai CA eksternal global. Atau, Anda dapat menggunakan profil konfigurasi Jamf Pro untuk mengeluarkan sertifikat yang berbeda dari AWS Private CA untuk kasus penggunaan yang berbeda, seperti menerbitkan sertifikat ke subset perangkat di organisasi Anda. Panduan penerapan profil konfigurasi Jamf Pro berada di luar cakupan dokumen ini.

**Untuk mengkonfigurasi AWS Private CA sebagai otoritas sertifikat eksternal (CA) di Jamf Pro**

1. Di konsol Jamf Pro, buka halaman **pengaturan sertifikat PKI dengan masuk ke **Pengaturan**** > **Global** > sertifikat **PKI**.

1. Pilih tab **Templat Sertifikat Manajemen**.

1. Pilih **CA Eksternal**.

1. Pilih **Edit**.

1. (Opsional) Pilih **Aktifkan Jamf Pro sebagai SCEP Proxy untuk profil konfigurasi**. Anda dapat menggunakan profil konfigurasi Jamf Pro untuk mengeluarkan sertifikat berbeda yang disesuaikan dengan kasus penggunaan tertentu. Untuk panduan tentang cara menggunakan profil konfigurasi di Jamf Pro, lihat [Mengaktifkan Jamf Pro sebagai Proxy SCEP untuk Profil Konfigurasi](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2) dalam dokumentasi Jamf Pro.

1. Pilih **Gunakan CA eksternal berkemampuan SCEP untuk pendaftaran komputer dan perangkat seluler**.

1. (Opsional) Pilih **Gunakan Jamf Pro sebagai SCEP Proxy untuk pendaftaran komputer dan perangkat seluler**. Jika Anda mengalami kegagalan instalasi profil, lihat[Memecahkan masalah kegagalan instalasi profil](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot).

1. Salin dan tempel Konektor untuk **URL SCEP SCEP** dari detail konektor ke bidang **URL** di Jamf Pro. Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Atau, Anda bisa mendapatkan URL dengan memanggil [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan menyalin `Endpoint` nilai dari respons.

1. (Opsional) Masukkan nama instance di bidang **Nama**. Misalnya, Anda bisa menamainya **AWS Private CA**.

1. Pilih **Statis** untuk jenis tantangan.

1. Salin kata sandi tantangan dari konektor Anda, dan tempelkan ke bidang **Tantangan**. Konektor dapat memiliki beberapa kata sandi tantangan. Untuk melihat kata sandi tantangan konektor Anda, navigasikan ke halaman detail konektor Anda di AWS konsol dan pilih tombol **Lihat kata sandi**. Atau, Anda bisa mendapatkan kata sandi tantangan konektor dengan memanggil [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)dan menyalin `Password` nilai dari respons. Untuk informasi tentang menggunakan kata sandi tantangan, lihat[Memahami Konektor untuk pertimbangan dan batasan SCEPPertimbangan dan batasan](c4scep-considerations-limitations.md).

1. Tempelkan kata sandi tantangan ke dalam bidang **Verifikasi Tantangan**.

1. Pilih **Ukuran Kunci**. Kami merekomendasikan ukuran kunci 2048 atau lebih tinggi.

1. (Opsional) Pilih **Gunakan sebagai tanda tangan digital**. Pilih ini untuk tujuan otentikasi untuk memberikan perangkat akses aman ke sumber daya seperti Wi-Fi dan VPN.

1. (Opsional) Pilih **Gunakan untuk encipherment kunci**.

1. (Opsional - disarankan) Masukkan string hex di bidang **Sidik Jari**. Kami menyarankan Anda menambahkan sidik jari CA untuk memungkinkan perangkat terkelola memverifikasi CA, dan hanya meminta sertifikat dari CA. Untuk petunjuk tentang cara membuat sidik jari untuk CA pribadi Anda, lihat[Langkah 1: (Opsional - disarankan) Dapatkan sidik jari CA pribadi Anda](#connector-for-scep-jamf-pro-ca-fingerprint).

1. Pilih **Simpan**.

### Langkah 3: Siapkan sertifikat penandatanganan profil konfigurasi
<a name="connector-for-scep-jamf-pro-signing-cert"></a>

Untuk menggunakan Jamf Pro dengan Konektor untuk SCEP, Anda harus memberikan sertifikat penandatanganan dan CA untuk CA pribadi yang terkait dengan konektor Anda. Anda dapat melakukannya dengan mengunggah keystore sertifikat penandatanganan profil ke Jamf Pro yang berisi kedua sertifikat tersebut.

Berikut adalah langkah-langkah untuk membuat keystore sertifikat dan mengunggahnya ke Jamf Pro:
+ Buat permintaan penandatanganan sertifikat (CSR) menggunakan proses internal Anda.
+ Dapatkan CSR yang ditandatangani oleh CA pribadi yang terkait dengan konektor Anda.
+ Buat keystore sertifikat penandatanganan profil yang berisi penandatanganan profil dan sertifikat CA.
+ Unggah keystore sertifikat ke Jamf Pro.

Dengan mengikuti langkah-langkah ini, Anda dapat memastikan bahwa perangkat Anda dapat memvalidasi dan mengautentikasi profil konfigurasi yang ditandatangani oleh CA pribadi Anda, memungkinkan penggunaan Konektor untuk SCEP dengan Jamf Pro.

1. Contoh berikut menggunakan OpenSSL AWS Certificate Manager dan, tetapi Anda dapat membuat permintaan penandatanganan sertifikat menggunakan metode pilihan Anda.

------
#### [ AWS Certificate Manager console ]

**Untuk membuat sertifikat penandatanganan profil menggunakan konsol ACM**

   1. Gunakan ACM untuk [meminta sertifikat PKI pribadi](). Sertakan yang berikut ini:
      + **Jenis** - Gunakan jenis CA pribadi yang sama yang berfungsi sebagai otoritas sertifikat SCEP untuk sistem MDM Anda.
      + Di bagian **Detail otoritas sertifikat**, pilih menu **Otoritas sertifikat** dan pilih CA pribadi yang berfungsi sebagai CA untuk Jamf Pro.
      + **Nama domain** - Berikan nama domain untuk disematkan ke dalam sertifikat. Anda dapat menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN), seperti`www.example.com`, atau nama domain telanjang atau puncak seperti `example.com` (yang tidak termasuk). `www.`

   1. Gunakan ACM untuk [mengekspor sertifikat pribadi](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) yang Anda buat pada langkah sebelumnya. Pilih **Ekspor file** untuk sertifikat, rantai sertifikat, dan kunci terenkripsi. Simpan **Passphrase** berguna karena Anda akan membutuhkannya di langkah berikutnya.

   1. Di terminal, jalankan perintah berikut di folder yang berisi file yang diekspor untuk menulis bundel PKCS \$112 ke dalam `output.p12` file yang dikodekan oleh frasa sandi yang Anda buat pada langkah sebelumnya.

      ```
      openssl pkcs12 -export \
        -in "Exported Certificate.txt" \
        -certfile "Certificate Chain.txt" \
        -inkey "Exported Certificate Private Key.txt" \
        -name example \
        -out output.p12 \
        -passin pass:your-passphrase \
        -passout pass:your-passphrase
      ```

------
#### [ AWS Certificate Manager CLI ]

**Untuk membuat sertifikat penandatanganan profil menggunakan ACM CLI**
   + Perintah berikut menunjukkan cara membuat sertifikat di ACM, dan kemudian mengekspor file sebagai bundel PKCS \$112.

     ```
     PCA=<Enter your Private CA ARN>
     
     CERTIFICATE=$(aws acm request-certificate \
         --certificate-authority-arn $PCA \
         --domain-name <any valid domain name, such as test.name> \
         | jq -r '.CertificateArn')
     
     while [[ $(aws acm describe-certificate \
       --certificate-arn $CERTIFICATE \
       | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
       
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.Certificate' > Certificate.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
       
     openssl pkcs12 -export \
       -in "Certificate.pem" \
       -certfile "CertificateChain.pem" \
       -inkey "PrivateKey.pem" \
       -name example \
       -out output.p12 \
       -passin pass:passphrase \
       -passout pass:passphrase
     ```

------
#### [ OpenSSL CLI ]

**Untuk membuat sertifikat penandatanganan profil menggunakan OpenSSL CLI**

   1. Menggunakan OpenSSL, buat kunci pribadi dengan menjalankan perintah berikut.

      ```
      openssl genrsa -out local.key 2048
      ```

   1. Buat permintaan penandatanganan sertifikat (CSR):

      ```
      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
      ```

   1. Dengan menggunakan AWS CLI, terbitkan sertifikat penandatanganan menggunakan CSR yang Anda buat di langkah sebelumnya. Jalankan perintah berikut, dan perhatikan sertifikat ARN dalam respons.

      ```
      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
      ```

   1. Dapatkan sertifikat penandatanganan dengan menjalankan perintah berikut. Tentukan sertifikat ARN dari langkah sebelumnya.

      ```
      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
      ```

   1. Dapatkan sertifikat CA dengan menjalankan perintah berikut.

      ```
      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
      ```

   1. Menggunakan OpenSSL, keluarkan keystore sertifikat penandatanganan dalam format p12. Gunakan file CRT yang Anda buat dalam langkah empat dan lima.

      ```
      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
      ```

   1. Saat diminta, masukkan kata sandi ekspor. Kata sandi ini adalah kata sandi keystore Anda untuk diberikan kepada Jamf Pro.

------

1. Di Jamf Pro, arahkan ke **Template Sertifikat Manajemen** dan buka panel **CA Eksternal**.

1. Di bagian bawah panel **CA Eksternal**, pilih **Ubah Penandatanganan dan Sertifikat CA**.

1. Ikuti petunjuk di layar untuk mengunggah sertifikat penandatanganan dan CA untuk CA eksternal.

### Langkah 4: (Opsional) Instal sertifikat selama pendaftaran yang dimulai pengguna
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment"></a>

Untuk membangun kepercayaan antara perangkat klien Anda dan CA pribadi Anda, Anda harus memastikan perangkat Anda mempercayai sertifikat yang dikeluarkan oleh Jamf Pro. Anda dapat menggunakan [Pengaturan Pendaftaran yang Dimulai Pengguna](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.) Jamf Pro untuk menginstal sertifikat CA Anda AWS Private CA secara otomatis di perangkat klien saat mereka meminta sertifikat selama proses pendaftaran.

### Memecahkan masalah kegagalan instalasi profil
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot"></a>

Jika Anda mengalami kegagalan penginstalan profil setelah mengaktifkan **Gunakan Jamf Pro sebagai Proxy SCEP untuk pendaftaran komputer dan perangkat seluler**, lihat log perangkat Anda dan coba yang berikut ini.


| Pesan kesalahan log perangkat | Mitigasi | 
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>` | Jika Anda menerima pesan galat ini saat mencoba mendaftar, coba lagi pendaftaran. Diperlukan beberapa kali percobaan sebelum pendaftaran berhasil. | 
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>` | Kata sandi tantangan Anda mungkin salah dikonfigurasi. Verifikasi bahwa kata sandi tantangan di Jamf Pro cocok dengan kata sandi tantangan konektor Anda. | 

# Konfigurasikan Microsoft Intune untuk Konektor untuk SCEP
<a name="connector-for-scep-intune"></a>

Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem manajemen perangkat seluler Microsoft Intune (MDM). Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Microsoft Intune setelah Anda membuat Konektor untuk SCEP untuk Microsoft Intune.

## Prasyarat
<a name="connector-for-scep-intune-prerequisites"></a>

Sebelum Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda harus menyelesaikan prasyarat berikut.
+ Buat ID Entra.
+ Buat Penyewa Intune Microsoft.
+ Buat Pendaftaran Aplikasi di ID Microsoft Entra Anda. Lihat [Memperbarui izin yang diminta aplikasi di Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) di dokumentasi Microsoft Entra untuk informasi tentang cara mengelola izin tingkat aplikasi untuk Pendaftaran Aplikasi Anda. Pendaftaran Aplikasi harus memiliki izin berikut:
  + Di bawah **Intune** setel **scep\$1challenge\$1provider**.
  + **Untuk **Microsoft Graph** mengatur **Application.Read.All dan User.Read.****
+ Anda harus memberikan aplikasi dalam persetujuan admin Pendaftaran Aplikasi Anda. Untuk selengkapnya, lihat [Memberikan persetujuan admin seluruh penyewa untuk aplikasi dalam dokumentasi](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal) Microsoft Entra.
**Tip**  
Saat Anda membuat Pendaftaran Aplikasi, catat ID **Aplikasi (klien) dan ID** **Direktori (penyewa) atau domain utama**. Saat Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda akan memasukkan nilai-nilai ini. Untuk informasi tentang cara mendapatkan nilai ini, lihat [Membuat aplikasi dan prinsip layanan Microsoft Entra yang dapat mengakses sumber daya](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) dalam dokumentasi Microsoft Entra.

## Langkah 1: Berikan AWS Private CA izin untuk menggunakan Aplikasi Microsoft Entra ID Anda
<a name="connector-for-scep-intune-configure-pca"></a>

Setelah Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda harus membuat kredensi federasi di bawah Pendaftaran Aplikasi Microsoft sehingga Konektor untuk SCEP dapat berkomunikasi dengan Microsoft Intune.

**Untuk mengkonfigurasi AWS Private CA sebagai CA eksternal di Microsoft Intune**

1. Di konsol Microsoft Entra ID, navigasikan ke **pendaftaran Aplikasi**.

1. Pilih aplikasi yang Anda buat untuk digunakan dengan Connector for SCEP. ID aplikasi (klien) aplikasi yang Anda klik harus cocok dengan ID yang Anda tentukan saat Anda membuat konektor.

1. Pilih **Sertifikat & rahasia** dari menu tarik-turun **Dikelola**.

1. Pilih tab **Kredensial Federasi**.

1. Pilih **Tambahkan kredensi**.

1. Dari menu tarik-turun **skenario kredensi Federasi**, pilih Penerbit **lain**.

1. **Salin dan tempel nilai **penerbit OpenID** dari detail Connector for SCEP for Microsoft Intune Anda ke dalam bidang Penerbit.** Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) di AWS konsol. Atau, Anda bisa mendapatkan URL dengan menelepon [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan kemudian menyalin `Issuer` nilai dari respons.

1. Untuk **Jenis**, pilih **Pengidentifikasi subjek eksplisit**.

1. Salin dan tempel nilai **subjek OpenID** dari konektor Anda ke bidang **Nilai**. Anda dapat melihat nilai penerbit OpenID di halaman detail konektor di konsol. AWS Atau, Anda bisa mendapatkan URL dengan menelepon [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan kemudian menyalin `Audience` nilai dari respons.

1. (Opsional) Masukkan nama instance di bidang **Nama**. Misalnya, Anda bisa menamainya **AWS Private CA**.

1. (Opsional) Masukkan deskripsi ke dalam bidang **Deskripsi**.

1. **Salin dan tempel nilai **OpenID Audience** dari detail Connector for SCEP for Microsoft Intune ke bidang Audience.** Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) di AWS konsol. Atau, Anda bisa mendapatkan URL dengan menelepon [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan kemudian menyalin `Subject` nilai dari respons.

1. Pilih **Tambahkan**.

## Langkah 2: Siapkan profil konfigurasi Microsoft Intune
<a name="connector-for-scep-intune-config-profile"></a>

Setelah Anda memberikan AWS Private CA izin untuk memanggil Microsoft Intune, Anda harus menggunakan Microsoft Intune untuk membuat profil konfigurasi Microsoft Intune yang menginstruksikan perangkat untuk menghubungi Connector for SCEP untuk penerbitan sertifikat.

1. Buat profil konfigurasi sertifikat tepercaya. Anda harus mengunggah sertifikat CA root dari rantai yang Anda gunakan dengan Connector for SCEP ke Microsoft Intune untuk membangun kepercayaan. Untuk informasi tentang cara membuat profil konfigurasi sertifikat tepercaya, lihat [Profil sertifikat root tepercaya untuk Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) di dokumentasi Microsoft Intune.

1. Buat profil konfigurasi sertifikat SCEP yang mengarahkan perangkat Anda ke konektor saat memerlukan sertifikat baru. **Jenis** Profil profil konfigurasi harus **Sertifikat SCEP**. Untuk sertifikat root profil konfigurasi, pastikan Anda menggunakan sertifikat tepercaya yang Anda buat pada langkah sebelumnya.

   Untuk **Server SCEP URLs**, salin dan tempel **URL SCEP** dari detail konektor Anda ke bidang Server **SCEP**. URLs Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Atau, Anda bisa mendapatkan URL dengan menelepon [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), dan kemudian menyalin `Endpoint` nilai dari respons. Untuk panduan cara membuat profil konfigurasi di Microsoft Intune, lihat [Membuat dan menetapkan profil sertifikat SCEP di Microsoft Intune dalam dokumentasi Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep).
**catatan**  
Untuk perangkat non-mac OS dan iOS, jika Anda tidak menetapkan masa berlaku di profil konfigurasi, Connector for SCEP mengeluarkan sertifikat dengan validitas satu tahun. Jika Anda tidak menyetel nilai Extended Key Usage (EKU) di profil konfigurasi, Connector for SCEP mengeluarkan sertifikat dengan EKU yang disetel. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` Untuk perangkat macOS atau iOS, Microsoft Intune tidak menghormati `ExtendedKeyUsage` atau `Validity` parameter dalam profil konfigurasi Anda. Untuk perangkat ini, Konektor untuk SCEP mengeluarkan sertifikat dengan masa berlaku satu tahun ke perangkat ini melalui otentikasi klien.

## Langkah 3: Verifikasi koneksi ke Konektor untuk SCEP
<a name="connector-for-scep-verify"></a>

Setelah Anda membuat profil konfigurasi Microsoft Intune yang mengarah ke titik akhir Connector for SCEP, konfirmasikan bahwa perangkat yang terdaftar dapat meminta sertifikat. Untuk mengonfirmasi, pastikan tidak ada kegagalan penetapan kebijakan. Untuk mengonfirmasi, di portal Intune navigasikan ke **Devices** > **Manage Devices** > **Configuration** dan verifikasi bahwa tidak ada yang tercantum di bawah **Kegagalan Penugasan Kebijakan Konfigurasi**. Jika ada, konfirmasikan pengaturan Anda dengan informasi dari prosedur sebelumnya. Jika pengaturan Anda benar dan masih ada kegagalan, maka konsultasikan [Kumpulkan data yang tersedia dari perangkat seluler](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).

Untuk informasi tentang pendaftaran perangkat, lihat [Apa itu pendaftaran perangkat?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done) dalam dokumentasi Microsoft Intune.

# Konfigurasikan Omnissa Workspace ONE untuk Konektor untuk SCEP
<a name="connector-for-scep-omnissa"></a>

Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem Omnissa Workspace ONE UEM (Unified Endpoint Management). Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Omnissa Workspace ONE setelah Anda membuat konektor SCEP. AWS

## Prasyarat
<a name="prerequisites"></a>

Sebelum Anda membuat konektor SCEP untuk Omnissa Workspace ONE, Anda harus menyelesaikan prasyarat berikut:
+ Buat CA pribadi di AWS konsol. Untuk informasi selengkapnya, lihat [Buat CA pribadi di AWS Private CA](create-CA.md).
+ Buat konektor SCEP tujuan umum. Untuk informasi selengkapnya, lihat [Membuat konektor](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Memiliki akun admin lingkungan Omnissa Workspace ONE yang aktif dengan ID Grup Organisasi.
+ Jika Anda mendaftarkan perangkat Apple, konfigurasikan Layanan Pemberitahuan Push Apple (APNs) untuk MDM. Untuk informasi selengkapnya, lihat [APNs Sertifikat](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) di dokumentasi Omnissa.

## Langkah 1: Tentukan otoritas sertifikat dan template di Omnissa Workspace ONE
<a name="step-1-define-certificate-authority-and-template"></a>

Setelah membuat konektor CA dan SCEP pribadi di AWS konsol, tentukan otoritas sertifikat dan templat di Omnissa Workspace ONE.

**Tambahkan AWS Private CA sebagai otoritas sertifikat**

1. Dari menu **Sistem**, pilih **Integrasi Perusahaan** dan kemudian pilih **Otoritas Sertifikat**.

1. Pilih **\$1 ADD** dan berikan informasi berikut:
   + **Nama**: AWS-Private-CA.
   + **Deskripsi**: AWS Private CA untuk penerbitan sertifikat perangkat.
   + **Jenis Otoritas**: Pilih **SCEP Generik**.
   + **URL SCEP**: Masukkan URL SCEP dari. AWS Private CA
   + **Jenis Tantangan**: Pilih **STATIC**.
   + **Tantangan Statis**: Masukkan kata sandi tantangan statis SCEP dari Konektor untuk konfigurasi SCEP di AWS konsol.
   + Masukkan nilai **Try Timeout** dan **Max Retries**.

1. Simpan konfigurasi.

**Buat templat sertifikat**

1. Dari menu **Sistem**, pilih **Integrasi Perusahaan**, pilih **Otoritas Sertifikat**, lalu pilih **Template**.

1. Pilih **Tambahkan Template** dan berikan informasi berikut:
   + **Nama Templat**: Device-Cert-Template.
   + **Otoritas Sertifikat**: Pilih **AWS-Private-CA**.
   + **Nama Subjek**: Ini adalah bidang yang dapat disesuaikan. Anda dapat memilih nilai variabel dari daftar atribut. Misalnya, CN= \$1DeviceReportedName\$1, O = \$1\$1, DevicePlatform OU = \$11\$1 CustomAttribute
   + **Panjang Kunci Pribadi**: 2048 bit.
   + **Jenis Kunci Pribadi**: Pilih **Penandatanganan** dan **Enkripsi** sesuai kebutuhan
   + **Pembaruan Otomatis**: Enabled/Disabled (Berdasarkan kebutuhan Anda).

1. Simpan template.

## Langkah 2: Siapkan konfigurasi profil Omnissa Workspace ONE UEM
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Buat profil di Omnissa Workspace ONE UEM yang mengarahkan perangkat ke Connector agar SCEP mengeluarkan sertifikat.

**Membuat profil perangkat SCEP untuk distribusi sertifikat**

1. **Dari menu **Sumber Daya**, pilih **Profil & Garis Dasar**, lalu pilih Profil.**

1. Pilih **Tambah** lalu **Tambahkan Profil**

1. Pilih platform perangkat (**Android**, **iOS**, **macOS**, **Windows**).

1. Tetapkan **tipe Manajemen** dan **Konteks** yang sesuai.

1. Tetapkan **Nama**: Device-Cert-Profile.

1. Gulir ke **SCEP Payload**.

1. Pilih **SCEP** dan kemudian pilih **\$1Add**.

1. Gunakan konfigurasi berikut:
   + **SCEP**:
     + Untuk **Sumber Kredenal** pilih **Otoritas Sertifikat yang Ditetapkan** (Default).
     + Untuk **Otoritas Sertifikat** pilih **AWS-Private-CA**
     + Untuk **Templat Sertifikat** pilih **Device-Cert-Template** yang ditentukan dalam Langkah 1.

1. Pilih **Berikutnya** dan di bagian **Penugasan** pilih grup pintar yang tepat dari daftar (grup penugasan untuk perangkat).

1. Pilih **Jenis Penugasan** sebagai **Otomatis** untuk mengaktifkan perpanjangan otomatis.

1. Simpan dan publikasikan profil.

**catatan**  
Untuk informasi selengkapnya, lihat [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) di dokumentasi Omnissa.

## Langkah 3: Daftarkan perangkat di Omnissa Workspace ONE
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**Membuat atau memverifikasi grup pintar**

1. Dari **Grup & Pengaturan** pilih **Grup** dan kemudian pilih **Grup Penugasan.**

1. Membuat atau mengedit grup pintar perangkat POC:
   + **Nama**: Perangkat POC.
   + **Jenis Perangkat**: Pilih **Semua** atau platform tertentu (Android atau iOS, misalnya).
   + **Kriteria**: Gunakan **UserGroup**, **Platform dan OS**, **OEM dan Model** untuk menentukan kriteria untuk mengelompokkan perangkat target.
   + **Kepemilikan**: Pilih **Apa saja** untuk perangkat pribadi atau perusahaan.

1. Simpan dan verifikasi perangkat target muncul di tab **Pratinjau**.

### Pendaftaran perangkat manual
<a name="manual-device-enrollment"></a>

Android  
+ Unduh aplikasi **Workspace ONE Intelligent Hub** dari Google Play.
+ Buka aplikasi dan masukkan URL pendaftaran atau pindai kode QR.
+ Masuk dan ikuti petunjuk untuk mendaftar sebagai perangkat yang dikelola MDM.

iOS/macOS  
+ Pada perangkat, buka **Safari** dan arahkan ke URL pendaftaran (https://<Workspace ONEUEMHostname >/daftar, misalnya).
+ Masuk dengan kredensi pengguna.
+ Unduh dan instal aplikasi **Workspace ONE Intelligent Hub** dari App Store.
+ **Ikuti petunjuk untuk menginstal profil MDM di **Settings** > **General** > **VPN & Device Management** > **Profile** > Install.**

Windows  
+ Unduh **Workspace ONE Intelligent Hub** dari server Workspace ONE atau Microsoft Store.
+ Mendaftar melalui Hub menggunakan URL pendaftaran dan kredensialnya.

Tetapkan perangkat yang terdaftar ke Grup Cerdas Perangkat POC di **Perangkat** > **Tampilan Daftar** > **Tindakan Lainnya** > **Tetapkan** ke Grup Cerdas.

Untuk informasi selengkapnya, lihat [Pendaftaran Perangkat Otomatis](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) di dokumentasi Omnissa.

**Verifikasi pendaftaran**

1. **Di Omnissa Workspace ONE UEM Console, buka **Devices** dan kemudian List View.**

1. Konfirmasikan bahwa perangkat terdaftar Anda muncul dengan status yang disetel ke **Terdaftar**.

1. Verifikasi perangkat berada dalam grup pintar perangkat POC di tab **Grup** pada Detail **Perangkat**.

## Langkah 4: Menerbitkan sertifikat
<a name="step-4-certificate-issuance"></a>

**Pemicu mengeluarkan sertifikat**

1. Di **Tampilan Daftar** **Perangkat**, pilih perangkat yang terdaftar.

1. Pilih pada tombol **Query** untuk meminta check-in.

1.  Device-Cert-ProfileHarus mengeluarkan sertifikat melalui. AWS Private CA

**Verifikasi instalasi sertifikat**

Android  
Pilih **Pengaturan**, lalu **Keamanan**, lalu **Kredensyal Tepercaya**, dan kemudian **Pengguna** untuk memverifikasi sertifikat.

iOS  
Buka **Pengaturan**, lalu pilih **Umum**, lalu **VPN & Manajemen Perangkat**, dan kemudian **Profil Konfigurasi**. Verifikasi bahwa sertifikat dari AWS-Private-CA ada.

macOS  
Buka **Keychain Access** dan kemudian **System Keychain** dan verifikasi sertifikat.

Windows  
**Buka **certmgr.msc**, lalu **Pribadi**, dan kemudian Sertifikat untuk memverifikasi sertifikat.**

## Pemecahan masalah
<a name="troubleshooting"></a>

Kesalahan SCEP (“22013 - Server SCEP mengembalikan respons yang tidak valid” misalnya)  
+ Verifikasi URL SCEP dan kata sandi tantangan statis di Workspace ONE match. AWS Private CA
+ <SCEP\$1URL>Uji konektivitas titik akhir SCEP: curl.
+ Periksa AWS CloudTrail log untuk AWS Private CA kesalahan (`IssueCertificate`kegagalan, misalnya).

APNs masalah (iOS/macOS)  
+ Pastikan APNs sertifikat valid dan ditetapkan ke Grup Organisasi yang benar.
+ Uji APNs konektivitas: telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.

Kegagalan instalasi profil  
+ Konfirmasikan perangkat berada di Grup Cerdas yang benar (**Perangkat**, lalu **Tampilan Daftar**, dan kemudian **Grup**).
+ Memaksa sinkronisasi profil: **Tindakan Lainnya**, lalu **Kirim**, dan kemudian **Daftar Profil**.

Beberapa catatan  
+ Android: Gunakan **log Logcat** atau Workspace ONE.
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleKonfigurator).
+ Windows: **Event Viewer**, lalu **Aplikasi dan Layanan Log** dan kemudian **Microsoft-Windows** -. DeviceManagement
+ Workspace ONE UEM: **Pantau**, lalu **Laporan & Analisis**, lalu **Acara**, dan kemudian Acara **Perangkat**.

Untuk detail Konektor untuk pemantauan SCEP AWS, lihat [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html).

## Pertimbangan keamanan
<a name="security-considerations"></a>
+ Simpan SCEP URLs dan rahasia dengan aman. Untuk informasi selengkapnya, lihat [AWS Secrets Manager layanannya](https://docs.aws.amazon.com/secretsmanager/).
+ Batasi kriteria grup pintar hanya untuk menargetkan perangkat.
+ Perbarui sertifikat Pemberitahuan Push Apple (APNs) secara teratur (berlaku selama 1 tahun).
+ Tetapkan periode validitas sertifikat singkat untuk bukti proyek konsep untuk meminimalkan risiko.
+ Untuk perangkat pribadi, pastikan pembersihan menghapus semua profil dan sertifikat.

[Untuk informasi tentang cara mengkonfigurasi integrasi Omnissa Workspace ONE UEM dan CA menggunakan konektor SCEP, lihat dokumentasi SCEP di Omnissa Workspace ONE.](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)