Certificado de identidad

Esta sección contiene los siguientes temas:

Ajustes del certificado de identidad
Distribución de la configuración

Una configuración del certificado de identidad define un mecanismo de identificación de certificados para dispositivos móviles. Los certificados de identidad son certificados X.509 (.p12 o .pfx). Además, los certificados de identidad pueden generarse dinámicamente utilizando la entidad de certificación como una fuente.Antes de comenzar, ya debería saber cómo desea distribuir los certificados en sus dispositivos móviles. También debe haber configurado cualquier entidad de certificación necesaria.

Los certificados SHA1 se dejan de utilizar mientras se crean los certificados de identidad. Puede elegir otros algoritmos. Si los certificados anteriores usaban SHA-1, puede usarse el mismo algoritmo SHA-1 mientras se actualizan los certificados. Si los certificados anteriores usaban un algoritmo posterior a SHA-1, no está permitido cambiar a SHA-1.
Después de configurar un certificado de identidad, puede hacer clic en Probar configuración y continuar para emitir y verificar la validez del certificado de prueba. Puede aparecer un error al realizar esta prueba para una configuración de certificado de identidad nueva o existente generada dinámicamente si el nombre del sujeto es el mismo que el de la autoridad de certificación local. Cuando aparezca este mensaje de error, deberá modificar el nombre del sujeto del certificado de identidad, que deberá ser diferente del nombre del sujeto de la autoridad de certificación local. Para las configuraciones de certificados de identidad existentes que se modifican con el nombre del sujeto, los certificados se vuelven a emitir y las configuraciones se vuelven a insertar.

Si ha configurado la opción para crear una configuración sin emitir certificado de prueba para la distribución de certificados Dinámicamente generados, haga clic en Continuar.
Mientras esté editando la configuración de un certificado de identidad existente (que se usa en un perfil Sentry para Tunnel o el uso de túneles en aplicaciones), desde el menú Acciones puede seleccionar la opción Borrar certificados del caché y emitir nuevos con actualizaciones recientes si fuera necesario. Los certificados sin caché volverán a emitirse automáticamente.
Cuando se asignan los certificados de identidad a las aplicaciones de Android, la aplicación del usuario obtiene los certificados de identidad sin solicitar a los usuarios que den su permiso (en lugar de la aplicación) para usar el certificado. Incluye todas las aplicaciones como Email+, Gmail, etc.
Email+ se puede configurar con un certificado de identidad proporcionado por el usuario e insertarse y asignarse como configuración de la aplicación en dispositivos que tengan la versión corporativa de Android (Android Enterprise). Solo es aplicable a los modos Perfil de trabajo en el Dispositivo propiedad de la empresa y Propietario del dispositivo.

Ajustes del certificado de identidad

Ajuste	Qué hacer
Nombre	Introduzca un nombre que identifique a esta configuración.
Descripción	Introduzca una descripción que explique la finalidad de esta configuración.
Distribución de certificados	Seleccione el tipo de distribución de certificados a configurar: Único archivo: Cargue un certificado existente para distribuirlo a los dispositivos. Generado dinámicamente: Cree certificados según la demanda utilizando una entidad de certificación local o externa. Proporcionado por el usuario: cree etiquetas para el tipo de certificados que el usuario va a cargar. Una vez creadas, el usuario podrá ver las etiquetas creadas (opciones) en el portal de autoservicio y cargar los certificados que correspondan a esas etiquetas. Credencial derivada: especifique uno de los siguientes usos de la credencial derivada: Autenticación Cifrado Firma Descifrado Config. de SCEP: especifique cómo solicitar un certificado desde el servidor de SCEP. Seleccione una de las siguientes configuraciones: Configurador de Apple Config. de Windows Su selección determina qué opciones se muestran en el resto del formulario.
Permitir que todas las aplicaciones accedan a la clave privada (macOS 10.10+)	Aplicable a: certificados de identidad de archivo único, generados de manera dinámica, proporcionados por el usuario y con configuración de SCEP Apple. (Opcional) En el caso de los certificados PKCS#12, active la opción Permitir que todas las aplicaciones accedan a la clave privada para permitir que todas las aplicaciones accedan a la clave privada. Por ejemplo, esta clave se puede utilizar en los casos en que se solicite al usuario una contraseña para permitir el acceso a un certificado utilizado para la VPN.
Único archivo
Datos del certificado de identidad	Arrastre el archivo del certificado hasta el cuadro punteado o haga clic en Elegir archivo para seleccionarlo del sistema de archivos.
Contraseña	Introduzca la contraseña que protege el archivo del certificado PKCS#12. Esta contraseña se utiliza para la instalación sin necesidad de solicitarla.
Generado dinámicamente
Origen	Seleccione la entidad de certificación local de la lista desplegable. Ya debería haber creado esta EC en Administrador > Administración de certificados.
Crear una configuración sin emitir un certificado de prueba	Seleccione la casilla para crear una configuración sin emitir un certificado de prueba.
Solo para Windows - Almacén de certificados de destino	Los administradores pueden ahora seleccionar el Almacén de certificados de destino en los dispositivos Windows.
Proporcionado por el usuario
Nombre para mostrar del certificado	Introduzca el nombre del certificado. Este nombre del certificado es exclusivo para un abonado y el usuario podrá ver el nombre del portal de autoservicio mientras carga el certificado.
Borrar la clave privada	Seleccione esta opción para borrar la clave privada del certificado después de n (1-30) días. También puede usar las API proporcionadas por Ivanti Neurons for MDM para estas operaciones. Consulte la Ivanti Neurons for MDM Guía API para obtener más información sobre las API. Si intenta usar este certificado en cualquier configuración (por ejemplo, para autenticar una aplicación o insertar una Wi-Fi o configuración de VPN) después de haber eliminado su clave privada, la tarea dará error. Asegúrese de que la tarea se realiza antes de haber eliminado la clave privada.
Borrar la clave privada después de días	Seleccione el número de días (1-30) después de los cuales se borran las claves privadas del certificado. El valor predeterminado es de 2 días.
Credencial derivada
Uso de credenciales derivados	Seleccione cualquiera de las siguientes opciones: Autenticación : para especificar que la credencial derivada se utiliza para la autenticación. Cifrado : para especificar que el uso de la credencial derivada es para el cifrado. Firma : para especificar que la credencial derivada se utiliza para la firma. Descifrado: para especificar que el uso de la credencial derivada es para el descifrado.
Marca	Seleccione el Proveedor de credenciales derivadas que utiliza de las siguientes opciones: Confiar Interceder Pura raza Para añadir los proveedores de credenciales derivadas personalizadas que utiliza, consulte Proveedores de credenciales derivadas.
Config. de ACME: aplicable solo a iOS/iPadOS16+
Identificador de cliente	Una cadena única que identifica un dispositivo concreto.
URL del directorio	(Requerido) la URL del directorio del servidor de ACME. La URL debe usar el esquema https.
Uso de clave ampliado	El valor es una matriz de cadenas. Cada cadena es una OID en una anotación estándar. Por ejemplo, [”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] indica la autenticación de clientes y la protección de correo electrónico. El dispositivo solicita este campo para el certificado que emite el servidor de ACME. El servidor de ACME puede reemplazar o ignorar este campo del certificado que emite.
Tamaño de clave	(Requerido) los valores válidos para KeySize dependen de los valores de KeyType y de HardwareBound. Consulte esas claves para requisitos específicos.
Tipo de clave	(Requerido) el tipo de pareja de claves a generar.
Asunto	(Requerido) el dispositivo solicita este asunto para el certificado que emite el servidor de ACME. El servidor de ACME puede reemplazar o ignorar este campo del certificado que emite. La representación de un nombre X.500 representado en forma de matriz de OID y valores. Por ejemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar se corresponde con: [ [ [”C”, “US”] ], [ [”O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] Los número con puntos representas las OID, con accesos directos para país (C), localidad (L), estadi (ST), organización (O), unidad organizativa (OU), y nombre común (CN). Escriba: [string]
Nombre alternativo del asunto	El Nombre Alt del asunto que el dispositivo solicita para el certificado que emite el servidor de ACME. El servidor de ACME puede reemplazar o ignorar este campo del certificado que emite.
Uso de clave	Este valor es un campo de bit. El bit 0x01 indica la firma digital. El bit 0x10 indica el acuerdo clave. El dispositivo solicita esta clave para el certificado que emite el servidor de ACME. El servidor de ACME puede reemplazar o ignorar este campo del certificado que emite.
Enlazado al Hardware	Si el Enlace con el hardware es cierto, la clave privada estará vinculada al dispositivo y solo entonces el Tipo de clave debe ser ECSECPrimeRandom y el Tamaño de clave 256 o 384.
Dar fe	Si es cierto, el dispositivo proporciona certificados que describen el dispositivo y la clave generada para el servidor de ACME. Cuando Certificar es cierto, Enlace con el hardware también debe ser cierto.
Configuración de SCEP: configuración de Apple
Certificado de identidad (SCEP)	Seleccione esta opción para especificar un servidor SCEP.
Entidad de Certificación local	Seleccione esta opción para especificar una entidad de certificación local que ya haya creado en Administrador > Administración de certificados. Seleccione la entidad de certificación local de la lista desplegable que aparece al seleccionar esta opción.
URL	Introduzca la URL para el servidor SCEP.
Identificador de EC	Introduzca el identificador proporcionado por la entidad de certificación.
Asunto	Introduzca un nombre X.500 representado en forma de matriz de OID y valores separados por comas. Normalmente, el sujeto se establece según el nombre de dominio totalmente cualificado del usuario. Por ejemplo, C=US,DC=com,DC=MobileIron,OU=InfoTech o CN=www.mobileiron.com. También puede personalizar el sujeto añadiendo una variable al OID. Por ejemplo, CN=www.mobileiron.com-$DISPOSITIVO_CLIENTE_ID$. Para una configuración más sencilla, también puede utilizar la variable $USUARIO_DN$ para rellenar el sujeto con el FQDN del usuario. No utilice el carácter de barra invertida (\) en el nombre del asunto.
Tipo de nombre alternativos de sujeto	Seleccione Nombre RFC 822, nombre DNS, Identificador uniforme de recursos o Ninguno, según los atributos de la plantilla del certificado.
Valor del nombre alternativo de sujeto	Introduzca el valor para el tipo correspondiente. Si escribe "$" como primer carácter, se mostrará una lista desplegable con los posibles atributos personalizados de LDAP y AAD. Seleccione de la lista el atributo personalizado que desee. Si se usa el valor de AAD, solo será compatible 'onPremisesImmutableId'. Introduzca fn:base64tohex(${onPremisesImmutableId})
Nombre principal de NT	Introduzca un nombre alternativo de sujeto para el entorno de Microsoft. Normalmente, esto se configuraría para incluir el UPN (nombre principal de usuario) del usuario.
Reto	(Opcional) Usado como secreto previamente compartido para inscripción automática.
Reintentos	Seleccione esta opción de la lista para establecer el número de veces que se puede intentar la autenticación después de que se devuelva el estado 'pendiente' por primera vez.
Retraso en el reintento	Seleccione esta opción de la lista para establecer el número de segundos que se esperará antes de volver a intentarlo.
Tamaño de la clave	Seleccione 1024, 2048 o 4096 bits.
Uso como firma digital	Seleccione si el certificado se puede utilizar para la firma.
Uso como cifrado clave	Seleccione si el certificado se puede utilizar para el cifrado.
Huella digital EC	Si su entidad de certificación utiliza HTTP, introduzca la cadena hexadecimal que se utilizará como huella digital del certificado de EC. Se admiten las huellas digitales MD5. Si lo prefiere, puede crear una huella digital a partir del certificado. Solo tiene que arrastrar y soltar el certificado hasta el área designada o hacer clic en Crear a partir de certificado para seleccionar el certificado desde su sistema de archivos.
Configuración SCEP - Config. de Windows
EC (Entidad de Certificación)	Seleccione esta opción para especificar una entidad de certificación que ya haya creado en Administrador > Administración de certificados. Seleccione la entidad de certificación de la lista desplegable que aparece al seleccionar esta opción.
Asunto	Introduzca un nombre X.500 representado en forma de matriz de OID y valores separados por comas. Normalmente, el sujeto se establece según el nombre de dominio totalmente cualificado del usuario. Por ejemplo, C=US,DC=com,DC=MobileIron,OU=InfoTech o CN=www.mobileiron.com. También puede personalizar el sujeto añadiendo una variable al OID. Por ejemplo, CN=www.mobileiron.com-$DISPOSITIVO_CLIENTE_ID$. Para una configuración más sencilla, también puede utilizar la variable $USUARIO_DN$ para rellenar el sujeto con el FQDN del usuario. No utilice el carácter de barra invertida (\) en el nombre del asunto.
Tipo de nombre alternativos de sujeto	Haga clic en + Añadir para seleccionar Nombre RFC 822, nombre DNS, Identificador uniforme de recursos o Ninguno, según los atributos de la plantilla del certificado.
Reintentos	Seleccione esta opción de la lista para establecer el número de veces que se puede intentar la autenticación después de que se devuelva el estado 'pendiente' por primera vez.
Retraso en el reintento	Seleccione esta opción de la lista para establecer el número de segundos que se esperará antes de volver a intentarlo.
Longitud de clave	Seleccione el tamaño de la clave en 1024, 2048 o 4096 bits.
Seleccione el uso	Seleccione al menos una opción: Usar como firma digital: seleccione esta opción si el certificado se puede usar para firmar. Usar como cifrado de la clave: seleccione esta opción si el certificado se puede usar para el cifrado.
Validez	Seleccione la validez en días, meses o años.
Huella digital de la EC	Si su entidad de certificación utiliza HTTP, introduzca la cadena hexadecimal que se utilizará como huella digital del certificado de EC. Se admiten las huellas digitales MD5. Si lo prefiere, puede crear una huella digital a partir del certificado. Solo tiene que arrastrar y soltar el certificado hasta el área designada o hacer clic en Crear a partir de certificado para seleccionar el certificado desde su sistema de archivos.
Familia de algoritmos hash	Seleccione los algoritmos SHA-2 o SHA-3.

Si se aplica un certificado de identidad a un perfil para el trabajo en un dispositivo sin configurar un código de acceso para el Desafío de acceso, el dispositivo solicitará un código de acceso para el dispositivo en su lugar.

Distribución de la configuración

A partir de la versión 81 de Ivanti Neurons for MDM, los administradores globales pueden delegar en los administradores de espacio la edición del Certificado de identidad generado dinámicamente para todos los dispositivos y para la opción de distribución personalizada. Para los certificados generados dinámicamente, puede seleccionar opcionalmente la opción Permitir que esta configuración esté disponible en todos los espacios. Esta opción hace que los certificados de identidad generados dinámicamente estén disponibles en todos los espacios y puedan utilizarse en Exchange, Wi-Fi, VPN y cualquier otra configuración aplicable, incluidas las configuraciones de aplicaciones gestionadas. Esta opción se puede usar en situaciones en las que solo es necesario distribuir el Certificado de identidad dinámicamente generado a los dispositivos (en espacios no predeterminados) como parte de configuraciones asociadas y no como configuración individual.

Procedimiento

Especifique los parámetros de configuración del certificado de identidad en los campos utilizando la información de la tabla anterior.
Haga clic en Siguiente.
Seleccione la opción Habilitar esta configuración.
(Opcional) Permitir que esta configuración esté disponible en todos los espacios.
Seleccione una de las siguientes opciones de distribución:
- Todos los dispositivos. Seleccione una de las siguientes opciones:
  - No aplicar a los otros espacios.
  - Aplicar a todos los dispositivos de otros espacios.
    - Seleccione la casilla de verificación Permitir que el administrador del espacio edite la distribución para permitir que los administradores delegados del espacio editen la distribución para el espacio específico.
- Ningún dispositivo (predeterminada)
- PersonalizarSeleccione una de las siguientes opciones:
  - No aplicar a los otros espacios.
  - Aplicar a todos los dispositivos de otros espacios.
    - Seleccione la casilla de verificación Permitir que el administrador del espacio edite la distribución para permitir que los administradores delegados del espacio editen la distribución para el espacio específico.
Independientemente de los espacios, el certificado de identidad generado dinámicamente puede configurarse en todos los espacios, distribuirse a todos los dispositivos y aplicarse a todos los dispositivos en otros espacios de dispositivos.
Haga clic en Hecho.