Gerenciamento de certificado

Licença: Silver

Usar a autenticação de certificado é uma forma eficaz de proteger seus dispositivos móveis. Os certificados são mais seguros que senhas, além de possibilitarem o uso de uma única credencial para proteger VPNs, redes sem fio, e-mail etc. Se a sua organização tem acesso a uma autoridade de certificação externa, use um Connector para acessá-la. Se sua organização não tem acesso a uma autoridade de certificação, você pode usar Ivanti Neurons for MDM como uma autoridade de certificação. Você também pode usá-la como uma autoridade de certificação intermediária para outras autoridades de certificação. Os certificados gerados pelo Ivanti Neurons for MDM são chamados de certificados autoassinados.

  • Os certificados SHA-1 são preteridos durante a criação dos certificados de identidade. Você pode escolher outros algoritmos. Ao atualizar os certificados, se os certificados mais antigos usarem SHA-1, o mesmo algoritmo SHA-1 poderá ser utilizado. Se os certificados mais antigos usarem um algoritmo acima de SHA-1, a reversão para SHA-1 não será permitida.
  • Durante a configuração da autoridade de certificação local ou externa, selecione a opção Armazenar identidades em cache no Ivanti Neurons for MDM para armazenar os certificados com o serviço do Ivanti Neurons for MDM. Sempre que necessário, limpe o cache para gerar identidades.
  • Ao editar um certificado existente, no menu Ações, é possível selecionar a opção Limpar certificados em cache e emitir novos com atualizações recentes, se necessário. Os certificados que não estão armazenados em cache serão emitidos de novo automaticamente.
  • Para melhorar a eficácia do sistema, os certificados das configurações criadas pelo administrador são gerados offline, usando uma fila do tipo "Primeiro a entrar, primeiro a sair" (FIFO). Durante o período em que as configurações estiverem sendo geradas offline, o estado da configuração será Geração de certificado pendente na coluna Status em Configurações na página Detalhes do dispositivo. Depois que os certificados são gerados, as configurações mudam para o estado Instalação pendente e são enviadas, junto com os certificados, para os dispositivos por meio de check-ins forçados automáticos.
  • Todos os certificados de Autoridade de Certificação, incluindo os certificados assinados pela DigiCert PKI Platform ou Autoridades de Certificação externas da GlobalSign, são revogados quando um dispositivo é desativado, apagado e quando os certificados são gerados novamente.

Como administrador, você agora pode gerar certificados do Ivanti Neurons for MDM para login de cartão inteligente e IDs de objetos personalizados (OIDs). É possível gerar certificados para as seguintes opções de autenticação:

Autenticação do cliente – ativada por padrão

IPSEC – opcional, pode ser ativada pelo administrador

Login de cartão inteligente – opcional, pode ser ativada pelo administrador

OIDs personalizados – opcionais, podem ser ativados pelo administrador

Este recurso só é aplicável para as seguintes autoridades de certificação:

Autoridade de certificação local

Autoridade de certificação intermediária

Autoridade de certificação externa – configure as políticas do aplicativo do modelo de autoridade de certificação no servidor NDES para oferecer suporte a IPSEC, login de cartão inteligente e OIDs personalizados

Nos modos Administrador do Dispositivo, Estação de Aplicativos ou outros modos não Android Enterprise, não há suporte para Gerenciamento de Certificados em dispositivos Samsung usando APIs Samsung. Recomenda-se verificar a transição para o Android Keystore com base na recomendação da Samsung.

Para mais informações, consulte Configuração do certificado.

Conectar a uma autoridade de certificação SCEP local

Procedimento

  1. Faça login no portal administrativo do Ivanti Neurons for MDM.

  2. Instale e configure um Connector (Administrador > Connector). Para mais informações, consulte Conector.

  3. Acesse Administrador > Infraestrutura > Gerenciamento de certificados.

  4. Clique em Adicionar na seção Autoridade de Certificação.

  5. Selecione Adicionar uma autoridade de certificação SCEP local e clique em Continuar:

  6. Insira um nome que identifique a configuração.

  7. Selecione um dos tipos de autoridade certificação a seguir:

    • Microsoft

    • EJBCA

    • Servidor SCEP genérico

      A opção Servidor SCEP genérico pode ser utilizada com a maioria dos servidores SCEP com uma senha de desafio estática.

  8. Preencha o formulário exibido.

  9. Clique em Concluído.

Como criar uma autoridade de certificação externa

Escolha essa opção se deseja usar uma Autoridade de certificação hospedada por terceiros.

Procedimento

  1. Na página Gerenciamento de certificados, clique em Adicionar na seção Autoridade de certificação.

  2. Na página Adicionar autoridade de certificação, em Criar uma autoridade de certificação externa, clique em Continuar.

  3. Selecione GlobalSign ou Plataforma DigiCert PKI como Autoridade de certificação externa.

  4. Preencha os campos restantes no formulário exibido.

  5. Clique em Concluído.

Exibição do certificado de uma autoridade de certificação externa

É possível visualizar os detalhes de um certificado e carregar o certificado root intermediário/alternativo para essa autoridade de certificação substituir a cópia existente armazenada.

Procedimento

  1. Em Autoridade de certificação na página Gerenciamento de certificados, clique em Ações ao lado da autoridade de certificação externa e clique em Ver certificado. A janela Exibir certificado é exibida.

  2. Na janela Exibir certificado, clique em Carregar certificado. A janela Carregar certificado: CA externa é exibida.

  3. Clique em Escolher arquivo para selecionar o certificado a ser carregado.

  4. Clique em Concluído.

Criação de uma autoridade de certificação intermediária

  • Se você precisa de um certificado, gere um CSR e envie-o à autoridade de assinatura. Após receber o certificado da autoridade de assinatura, faça o upload do certificado.

  • Se você já tiver o certificado necessário, carregue-o.

Gere uma CSR (solicitação de assinatura de certificado)

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Adicionar

  2. Na seção Adicionar autoridade de certificação, em Criar uma autoridade de certificação intermediária, clique em Gerar CSR.

  3. Preencha o formulário exibido.

  4. Clique em Gerar.

  5. Copie o conteúdo entre BEGIN CERTIFICATE REQUEST e END CERTIFICATE REQUEST para um arquivo de texto.

  6. Carregue o arquivo de texto na autoridade de certificação.

  7. Clique em Concluído.

Como fazer o upload do certificado assinado

Após receber o certificado assinado da autoridade de certificação, você pode fazer o upload do certificado assinado.

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, localize a entrada para o CSR que você gerou.

  2. Na seção, selecione Ações > Carregar novo certificado assinado.

  3. Clique em Escolher arquivo.

  4. Selecione o novo certificado assinado.

  5. Clique em Concluído.

Como fazer o upload de um certificado existente

Este tópico descreve como fazer upload de um certificado assinado.

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Adicionar.

  2. Na seção Adicionar autoridade de certificação, em Criar uma autoridade de certificação intermediária, clique em Carregar identidade existente.

  3. No campo Nome, insira um nome para diferenciar esse certificado dos outros.

  4. Clique em Upload.

  5. Selecione o certificado.

  6. Insira a senha para o certificado.

  7. Clique em Upload.

Exibição do certificado de uma autoridade de certificação intermediária

É possível visualizar os detalhes de um certificado e obter o URL da CRL (Lista de Certificados Revogados) da autoridade de certificação.

Procedimento

  1. Na seção Autoridade de certificação, clique em Ações ao lado da autoridade de certificação e clique em Ver certificado. A janela Exibir certificado é exibida.

  2. Na janela Exibir certificado, é possível visualizar a URL no campo URL da CRL.

  3. Clique em Copiar para copiar o URL para a área de transferência e colá-lo em outro aplicativo. Esta URL pode ser usada para configurar o Office 365 para aceitar certificados emitidos pela autoridade de certificação.

Como criar uma Autoridade de certificação independente

Escolha esta opção se desejar criar uma autoridade de certificação totalmente independente (local e autoassinada).

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Adicionar.

  2. Na página Adicionar autoridade de certificação, em Criar uma autoridade de certificação independente, clique em Continuar.

  3. Preencha o formulário exibido.

  4. Clique em Gerar.

Configuração do período de expiração da autoridade de certificação independente

Você pode configurar o período de expiração da autoridade de certificação independente (local). Por padrão, o tempo de vida do certificado está configurado como 30 anos.

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Ações ao lado da autoridade de certificação autônoma.

  2. Clique em Editar.

    A janela Editar autoridade de certificação será exibida.

  3. Na seção Modelo de certificado de cliente, no campo Tempo de vida do certificado, insira o novo período de expiração em dias.

  4. Clique em Salvar.

Você pode receber notificações e e-mails (se forem habilitados como opção) quando o certificado emitido por uma autoridade de certificação local está perto de expirar ou já está expirado.

  • Notificação sobre os dias para a expiração do certificado - Notificações são geradas em intervalos pré-determinados durante um período de expiração do certificado. A primeira notificação ocorre 365 dias antes expiração, seguida por notificações adicionais que ocorrem 180 dias, 60 dias, 45 dias e 7 dias antes expiração. Você receberá esta notificação até substituir o certificado navegando até Admin > Gerenciamento de certificados > Ações > Carregar novo certificado assinado.
  • Notificação no certificado expirado - Você recebe uma notificação quando o certificado expira. Você deve substituir o certificado para voltar para o serviço normal.
  • Notificar quando um novo certificado válido é carregado. A notificação será enviada quando o novo certificado assinado for carregado.

Visualizar o certificado da autoridade de certificação independente

É possível visualizar os detalhes de um certificado e obter o URL da CRL (Lista de Certificados Revogados) da autoridade de certificação local.

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Ações ao lado da autoridade de certificação local e clique em Exibir certificado. A janela Exibir certificado é exibida.

  2. Na janela Exibir certificado, é possível visualizar a URL no campo URL da CRL.

  3. Clique em Copiar para copiar o URL para a área de transferência e colá-lo em outro aplicativo. Esta URL pode ser usada para configurar o Office 365 para aceitar certificados emitidos pela autoridade de certificação local.

Visualizar uma vida útil do CRL de uma autoridade de certificação

Você pode visualizar e editar a vida útil do CRL de uma autoridade de certificação local ou intermediária.

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Ações ao lado da autoridade de certificação local e clique em Editar. A janela Editar autoridade de certificação será exibida.

  2. Na janela Editar autoridade de certificação, é possível visualizar a CRL no valor de vida útil. O valor padrão mínimo é de 24 horas. O valor máximo que pode ser inserido é de 10.950 horas.

  3. Editar o valor de vida útil CRL e clique em Salvar.

Criação de uma Autoridade de certificação de Cloud

Escolha essa opção se deseja usar uma Autoridade de certificação de Cloud.

Procedimento

  1. Na seção Autoridade de certificação na página Gerenciamento de certificados, clique em Adicionar.

  2. Na página Adicionar autoridade de certificação, em Criar uma autoridade de certificação Cloud, clique em Continuar.

  3. Selecione a Autoridade de certificação em Cloud. As opções disponíveis são as seguintes:

    • Atos IDnomic CMS

    • Plataforma DigiCert PKI
    • Entrust
    • GlobalSign

  4. Preencha os campos restantes no formulário exibido.

  5. Clique em Concluído.

Como usar a Pesquisa avançada em certificados

Você pode usar a opção Pesquisa avançada para pesquisar certificados emitidos com base em regras, a fim de identificar e visualizar os certificados com critérios específicos. Essas regras podem ser criadas usando os operadores aplicáveis, incluindo os operadores "começa com", "termina com", "contém", "não contém", "não começa com", "não termina com", "é menor que", "é maior que", "está no intervalo", "é igual a" e "é diferente de". As opções de regras podem ser agrupadas utilizando as opções QUALQUER (OU) ou TODAS (E). Os certificados emitidos que correspondem às regras são exibidos abaixo da seção. A partir do Ivanti Neurons for MDM versão 76, os operadores para todos os modelos de gerenciamento de certificado possuem operadores padrão. Os operadores dos seguintes modelos são padronizados nesta versão:

  • Administrador > Gerenciamento de certificado > Certificados emitidos > Pesquisa avançada

Pesquisa avançada em certificados emitidos

Procedimento

  1. Na seção Certificados emitidos na página Gerenciamento de certificados, clique no link Pesquisa avançada.
  2. Clique em Qualquer se os usuários precisarem corresponder a pelo menos uma das regras, ou clique em Todos se o certificado precisar corresponder a todas as regras.
  3. Crie uma regra que defina os critérios de pesquisa para os seguintes atributos:
    • CA
    • Nome da configuração
    • Expiração
    • É chave privativa
    • SO
    • Número de série
    • Status
    • Tipo de uso
    • Usuário
  4. (Opcional) Clique em + para criar regras adicionais, se necessário.
  5. (Opcional) Clique em Salvar para salvar a consulta.
  6. Clique em Pesquisar. A lista de usuários que correspondem aos critérios de pesquisa é exibida na página.

Pesquisa avançada em certificados fornecidos pelo usuário

Procedimento

  1. Na seção Certificados Fornecidos pelo Usuário na página Gerenciamento de certificados, clique no link Pesquisa avançada.
  2. Clique em Qualquer se os usuários precisarem corresponder a pelo menos uma das regras, ou clique em Todos se o certificado precisar corresponder a todas as regras.
  3. Crie uma regra que defina os critérios de pesquisa para os seguintes atributos:
    • Nome do certificado
    • Data da expiração
    • Emitido por
    • Transferido em
  4. (Opcional) Clique em + para criar regras adicionais, se necessário.
  5. (Opcional) Clique em Salvar para salvar a consulta.
  6. Clique em Pesquisar. A lista de usuários que correspondem aos critérios de pesquisa é exibida na página.

Como carregar as consultas de pesquisa para certificados emitidos

Para ver a lista de consultas de pesquisa salvas.

Procedimento

  1. Na seção Certificados emitidos na página Gerenciamento de certificados, clique no link Pesquisa avançada.
  2. Clique no ícone Pasta. A janela Pesquisa avançada é exibida. A lista das consultas de pesquisa criadas é exibida na seção Consulta carregada. Os seguintes detalhes são exibidos nessa seção:
    • Nome da consulta - O nome da consulta carregada.
    • Conteúdo da consulta - Exibe o conteúdo sobre as regras que definem a consulta de pesquisa.
    • Ações - Selecione a ação a ser executada na consulta.
  3. Clique em Carregar consulta na coluna Ações para exibir a lista de certificados emitidos que correspondem aos critérios definidos na consulta carregada.

    Para excluir uma consulta carregada, clique no ícone Excluir.

Clique em Exportar para o CSV para fazer download do conteúdo reportado pelo resultado da pesquisa em um arquivo CSV para referência ou análise posteriores.

Visualização do período de expiração dos certificados emitidos

Na seção Certificados emitidos, na coluna Expira (em dias) você pode ver os dias restantes até o certificado expirar se a expiração ocorrer nos próximos 30 dias. Se o certificado já tiver expirado nos últimos 30 dias, a coluna Expira (em dias) para o certificado exibe o número de dias decorridos desde a data de expiração.

Para obter mais informações, consulte configuração SCEP para autoridades de certificado externas.

Exportar para CSV

Você pode exportar os certificados para um arquivo CSV para consulta ou análise posteriores.

Procedimento

  1. Na página Gerenciamento de certificados, vá para uma das guias seguintes.

    • Autoridade de certificação

    • Certificados emitidos

    • Certificados fornecidos pelo usuário

  2. Clique em Exportar para CSV.

  3. Clique em Baixar.

  4. (Opcional) Clique em Excluir para excluir o relatório.