Servidores SCEP
Herramientas > Administración de dispositivos modernos > Configuraciones de MDM > Ajustes comunes > SCEP
La conexión a un servidor SCEP le permite aprovisionar automáticamente los certificados. Cada vez que se agregue un dispositivo, el servidor SCEP distribuirá automáticamente un certificado. Esto asegura la red de la empresa y los dispositivos de accesos e inscripciones de dispositivos aleatorios (no SCEP).
El uso de esta función asume que los siguientes servicios se han instalado y están totalmente configurados:
•Active Directory.
•Servicios de certificados, incluido el Servicio de inscripción de dispositivos de red (NDES) de Microsoft. Es muy recomendable que este servidor se esté ejecutando en un Servidor Windows 2012 R2 o más reciente.
•EL servidor NDES debe configurarse para permitir más de 5 contraseñas por hora. Se recomiendan 20 contraseñas por hora a través de la configuración de registro.
•Servidor de políticas de red (RADIUS).
•Infraestructura inalámbrica basada en EAP.
•En la consola LDMS, configure Directorio para conectarse con Active Directory; no es suficiente la autenticación del usuario de paso.
Cuando se conecta con un servidor SCEP, Endpoint Manager se comunica con él a través de CSA. El servidor SCEP deberá hacer las solicitudes de certificados a una autoridad de certificación, que luego publica el certificado en un punto de acceso. A continuación, se distribuye el certificado en los dispositivos, uno a uno.
El diálogo de configuración de SCEP tiene los campos siguientes:
•URL del servidor SCEP: nombre de host o IP del servidor NDES. Son compatibles tanto HTTP como HTTPS, aunque recomendamos el uso de HTTPS. Incluir sólo HTTPS seguido por el nombre del host o la IP; no incluir una ruta de acceso completa. Sólo es compatible Microsoft NDES, por eso sólo es necesaria la primera parte de la URL.
•Nombre de usuario: el nombre de usuario que creó cuando instaló NDES.
•Contraseña:: la contraseña para el usuario de NDES.
•Dominio: el dominio del usuario de NDES.
Para garantizar una conexión correcta con el servidor SCEP, haga clic en Verificar. Si es correcta, haga clic en Aplicar.
El botón Verificar se diseña con un número limitado de ID de desafío que se pueden enviar en una hora para verificar las conexiones, así que utilícelo con prudencia. Para restablecer el contador de contraseñas, reinicie IIS en el servidor NDES.
Creación de perfiles de dispositivos de Apple que sean compatibles con SCEP
Puede desplegar cargas útiles de SCEP en dispositivos de Apple. La carga útil de SCEP tiene varios componentes que debe configurar para que funcionen correctamente.
- Configure SCEP como se indica arriba en Herramientas > Administración de dispositivos modernos > Configuraciones de MDM > Ajustes comunes > SCEP.
- En Herramientas > Configuración > Configuración de agente, abra el perfil de configuración de Apple que desee modificar.
- En el editor de configuración, haga clic en cara útil de Certificados, y, si no ve las opciones de configuración, haga clic en el botón Configurar.
- Importe el certificado de raíz CA del servidor SCEP.
- En el editor de perfiles de configuración, haga clic en cara útil de SCEP, y, si no ve las opciones de configuración, haga clic en el botón Configurar.
- En el primer campo URL, puede ver si acepta una variable de base de datos ${SCEPURL}$. Esta variable se sustituirá por la URL que introdujo en el paso 1 en el momento de la implementación. Introduzca esta variable para la URL.
- En el campo Nombre, especifique el nombre del certificado de Raíz CA.
- En la lista Tipo de nombre alternativo para el tema, seleccione RFC 822 Name.
- En Valor del nombre alternativo del tema, escriba ${EMAIL}$ para recuperar el correo electrónico del usuario que inscribió el dispositivo o para especificar manualmente la dirección de correo del usuario.
- Para Nombre del principio NT, escriba ${UPN}$ para recuperar la UPN del usuario que inscribió el dispositivo e escriba manualmente la UPN del usuario.
- Seleccione Dinámico como Tipo de desafío.
- En el campo URL del servidor de desafío SCEP, escriba ${SCEPCHLGURL}$ para extraer el valor del servidor desde la base de datos. Esta es la URL del servidor SCEP tal y como se configuró en el paso 1.
- En el campo Nombre de usuario del servidor de desafío SCEP, escriba ${SCEPCHLGUSRNM}$ para extraer el valor del usuario desde la base de datos. Este es el nombre de usuario del servidor SCEP tal y como se configuró en el paso 1.
- En el campo Contraseña del servidor de desafío SCEP, escriba ${SCEPCHLGPSWD}$ para extraer el valor de la contraseña desde la base de datos. Esta es la contraseña del servidor SCEP tal y como se configuró en el paso 1.
- Seleccione 2048 en la lista Tamaño de tecla.
- Seleccione Cifrado y firma digital en la lista Uso.
- En el editor de perfiles de configuración, haga clic en la carga útil Red (Wi-Fi).
- En la opción Tipo de seguridad, seleccione la opción de seguridad de empresa que desee.
- Seleccione el protocolo de autenticación TLS.
- En la opción Certificado de identidad, seleccione el certificado CARoot que se agregó en el paso 4.
- Haga clic en la pestaña Confianza y seleccione el certificado CARoot.
- Haga clic en Aceptar para guardar los cambios.
- Implementación de perfiles
Si adjunta múltiples certificados X.509 en la página de carga útil de Certificados, la primera vez que un usuario se conecte al Wi-Fi, se le indicará que debe seleccionar un certificado de la lista de certificados disponibles. Si los usuarios seleccionan el certificado erróneo, fallará la conexión. En dispositivos Apple, es posible que no sea evidente el certificado que los usuarios deben seleccione, y por eso puede que deba proporcionar ayuda.