Certificado de identidade
Esta seção contém os seguintes tópicos:
Uma configuração do certificado de identidade define um mecanismo de autenticação de certificado para dispositivos móveis. Os certificados de identidade são certificados X.509 (.p12 ou .pfx). Além disso, os certificados de identidade podem ser gerados dinamicamente usando a Autoridade de certificação como fonte. Antes de começar, você já deve saber como planeja distribuir os certificados para seus dispositivos móveis. Você também já deve ter configurado qualquer autoridade de certificação necessária.
- Os certificados SHA-1 são preteridos durante a criação dos certificados de identidade. Você pode escolher outros algoritmos. Ao atualizar os certificados, se os certificados mais antigos usarem SHA-1, o mesmo algoritmo SHA-1 poderá ser utilizado. Se os certificados mais antigos usarem um algoritmo acima de SHA-1, a alteração para SHA-1 não é permitida.
- Depois de configurar um certificado de identidade, você pode clicar em Testar configuração e continuar para emitir e verificar a validade do certificado de teste. Pode ser exibido um erro ao executar esse teste para uma configuração de certificado de identidade gerada dinamicamente nova ou existente se o nome do assunto é igual à autoridade de certificação local. Quando essa mensagem de erro for exibida, você deve modificar o nome do assunto do certificado de identidade que deve ser diferente do nome do assunto da autoridade de certificação local. Para configurações de certificado de identidade existentes que são modificadas com o nome do assunto, os certificados são emitidos novamente e as configurações são enviadas novamente.
Se estiver configurada a opção de criar uma configuração sem emitir um certificado de teste para a distribuição de certificado Gerada dinamicamente, clique em Continuar. - Ao editar a configuração de um certificado de identidade existente (que é usado em um perfil do Sentry para Tunnel ou aplicativo Tunnel), no menu Ações será possível selecionar a opção Limpar certificados em cache e emitir novos com atualizações recentes se necessário. Os certificados que não estão armazenados em cache serão emitidos de novo automaticamente.
-
- O Email+ pode ser configurado com um certificado de identidade fornecido pelo usuário, enviado por push e atribuído como uma configuração de aplicativo a dispositivos Android corporativo. Isso é aplicável apenas aos modos Perfil de trabalho em dispositivo de propriedade da empresa e Proprietário do dispositivo.
Configurações do certificado de identidade
|
Configuração |
O que fazer |
|---|---|
|
Nome |
Insira um nome que identifique essa configuração. |
|
Descrição |
Insira uma descrição que esclareça o propósito dessa configuração. |
|
Distribuição de certificados |
Selecione o tipo de distribuição de certificado para configurar:
Sua seleção determina as opções que serão exibidas no resto do formulário. |
| Permitir que todos os apps acessem a chave privativa (macOS 10.10+) |
Aplicável a: certificados de identidade de Arquivo único, Gerados dinamicamente, Fornecidos pelo usuário e de Configuração SCEP para Apple. (Opcional) Para certificados PKCS#12, ative a opção Permitir que todos os apps acessem a chave privada para permitir que todos os apps acessem a chave privada. Por exemplo, essa chave pode ser usada nos casos em que a senha é solicitada do usuário a fim de permitir acesso a um certificado utilizado para VPN. |
| Arquivo único | |
|
Dados do Certificado de identidade |
Arraste o arquivo de certificado até a caixa pontilhada ou clique em Escolher arquivo para selecioná-lo do seu sistema de arquivos. |
|
Senha |
Digite a senha que protege o arquivo de certificado PKCS#12. Esta senha é usada para instalação sem aviso. |
| Gerado dinamicamente | |
|
Origem |
Selecione a autoridade de certificação local na lista suspensa. Você já deve ter criado essa CA em Admin > Gerenciamento de certificados. |
|
Criar configuração sem emitir certificado de teste |
Selecione a caixa de verificação para criar uma configuração sem emitir um certificado de teste. |
|
Somente Windows – Armazenamento do certificado de destino |
Os administradores agora podem selecionar o armazenamento do certificado de destino em dispositivos Windows. |
| Fornecido pelo usuário | |
|
Nome de exibição do certificado |
Insira o nome do certificado. Este nome de certificado é exclusivo para cada locatário, e o usuário poderá ver o nome no portal de autoatendimento ao fazer upload do certificado. |
| Excluir a chave privativa |
Selecione esta opção para excluir a chave privativa do certificado após n (1 a 30) dias. Você também pode usar as APIs fornecidas pelo Ivanti Neurons for MDM para essas operações. Consulte o Ivanti Neurons for MDM Guia de API para mais informações sobre as APIs. Se você tentar usar este certificado em alguma configuração (por exemplo, para autenticar um aplicativo ou enviar uma configuração de Wi-Fi ou de VPN) após a exclusão da chave privativa, a tarefa falhará. Realize a tarefa antes da exclusão da chave privativa. |
| Excluir a chave privativa após dias | Selecione o número de dias (1 a 30) após o qual as chaves privativas do certificado são apagadas. O valor padrão é 2 dias. |
| Credencial derivada | |
| Uso de credencial derivada |
Selecione qualquer uma das opções a seguir:
|
| Marca |
Dentre as opções a seguir, selecione o Fornecedor de credenciais derivadas que você utiliza:
Para adicionar os fornecedores de credenciais derivadas personalizados que você utiliza, consulte a seção Fornecedores de credenciais derivadas. |
|
Configuração ACME - aplicável apenas a iOS/iPadOS16+ |
|
|
Identificador do cliente |
Uma string única que identifica um dispositivo específico |
|
URL do diretório |
(Obrigatório) O URL do diretório do servidor ACME. O URL deve usar o esquema https. |
|
Uso de chave estendida |
O valor é uma matriz de strings. Cada string é um OID em notação pontilhada. Por exemplo, ["1.3.6.1.5.5.7.3.2", "1.3.6.1.5.5.7.3.4"] indica autenticação do cliente e proteção de e-mail. O dispositivo solicita esse campo para o certificado emitido pelo servidor ACME. O servidor ACME pode substituir ou ignorar este campo no certificado que emite. |
|
Tamanho da chave |
(Obrigatório) Os valores válidos para Tamanho da Chave dependem dos valores de Tipo da Chave e de Vinculado ao Hardware. Consulte essas chaves para verificar requisitos específicos. |
|
Tipo da chave |
(Obrigatório) O tipo de par de chaves a ser gerado. |
|
Assunto |
(Obrigatório) O dispositivo solicita esse assunto para o certificado emitido pelo servidor ACME. O servidor ACME pode substituir ou ignorar esse campo no certificado que emite. Nome X.500 representado como matriz de OID e valor. Por exemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar corresponde a: [ [ [”C”, “US”] ], [ [”O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] Os números pontilhados podem representar OIDs, com atalhos para país (C), localidade (L), estado (ST), organização (O), unidade organizacional (OU) e nome comum (CN). Tipo: [string] |
|
Nome alternativo do assunto |
O nome alternativo de assunto que o dispositivo solicita para o certificado emitido pelo servidor ACME. O servidor ACME pode substituir ou ignorar este campo no certificado que emite. |
|
Uso da chave |
Este valor é um campo de bits. O bit 0x01 indica assinatura digital. O bit 0x10 indica acordo de chaves. O dispositivo solicita essa chave para o certificado emitido pelo servidor ACME. O servidor ACME pode substituir ou ignorar este campo no certificado que emite. |
|
Vinculado ao hardware |
Se Vinculado ao Hardware for definido como verdadeiro, a chave privada será vinculada ao dispositivo, e somente então o tipo de chave deverá ser ECSECPrimeRandom e o tamanho da chave deverá ser 256 ou 384. |
|
Atestar |
Se verdadeiro, o dispositivo fornece atestados descrevendo o dispositivo e a chave gerada ao servidor ACME. Quando Atestar é verdadeiro, Vinculado ao Hardware também deve ser verdadeiro. |
| Configuração SCEP - Configuração Apple | |
|
Certificado de identidade (SCEP) |
Selecione para especificar um servidor SCEP. |
|
Autoridade de certificação local |
Selecione para especificar uma autoridade de certificação local que você já criou em Admin > Gerenciamento de certificados. Selecione a autoridade de certificação local da lista suspensa, exibida ao selecionar essa opção. |
|
URL |
Informe o URL do servidor SCEP. |
|
Identificador da CA |
Insira o identificador fornecido pela autoridade de certificação. |
|
Assunto |
Insira um nome X.500 representado na forma de uma matriz de OIDs e valores separados por vírgulas. Normalmente, o assunto é configurado como o nome de domínio qualificado completo do usuário. Por exemplo, C=US,DC=com,DC=MobileIron,OU=InfoTech ou CN=www.mobileiron.com. Você também pode personalizar o Assunto inserindo uma variável no OID. Por exemplo, CN=www.mobileiron.com-$DEVICE_CLIENT_ID$. Para facilitar a configuração, você também pode usar a variável $USER_DN$ para preencher o Assunto com o FQDN do usuário. Não use o caractere de barra invertida (\) no nome do assunto. |
|
Tipo de nome alternativo do assunto |
Selecione Nome RFC 822, Nome DNS, Identificador de Recursos Uniforme ou Nenhum, com base nos atributos do modelo de certificado. |
|
Valor do nome alternativo do assunto |
Insira o valor do tipo correspondente. Se você digitar '$' como o primeiro caractere, uma lista suspensa será exibida com possíveis atributos LDAP e AAD personalizados. Selecione o atributo personalizado adequado na lista. Se o valor AAD for usado, haverá suporte apenas para 'onPremisesImmutableId'. Insira fn:base64tohex(${onPremisesImmutableId}) |
|
Nome da entidade NT |
Insira um nome de assunto alternativo para o ambiente da Microsoft. Ele normalmente seria configurado para incluir o UPN do usuário (nome principal do usuário). |
| Desafio | (Opcional) Usado como um segredo pré-compartilhado para a inscrição automática. |
|
Tentativas |
Selecione da lista para configurar o número de tentativas de autenticação após a primeira vez que for retornado o status de "pendente". |
|
Intervalo entre novas tentativas |
Selecione da lista para definir o tempo de espera em segundos antes de uma nova tentativa. |
|
Tamanho da chave |
Selecione 1024, 2048 ou 4096 bits. |
|
Usar como assinatura digital |
Selecione se o certificado pode ser usado para assinatura. |
|
Usar como codificação da chave |
Selecione se o certificado pode ser usado para criptografia. |
|
Impressão digital da CA |
Se a sua autoridade de certificação usar HTTP, insira a sequência hexadecimal que será utilizada como impressão digital do certificado da CA. As impressões digitais MD5 são suportadas. Se você preferir, crie uma impressão digital a partir do certificado. Arraste e solte o certificado na área designada ou clique em Criar do Certificado para selecionar o certificado do seu sistema de arquivos. |
| Configuração de SCEP – Configuração do Windows | |
|
CA (Autoridade de certificação) |
Selecione para especificar uma autoridade de certificação que você já criou em Admin > Gerenciamento de certificados. Selecione a autoridade de certificação na lista suspensa, exibida ao selecionar essa opção. |
|
Assunto |
Insira um nome X.500 representado na forma de uma matriz de OIDs e valores separados por vírgulas. Normalmente, o assunto é configurado como o nome de domínio qualificado completo do usuário. Por exemplo, C=US,DC=com,DC=MobileIron,OU=InfoTech ou CN=www.mobileiron.com. Você também pode personalizar o Assunto inserindo uma variável no OID. Por exemplo, CN=www.mobileiron.com-$DEVICE_CLIENT_ID$. Para facilitar a configuração, você também pode usar a variável $USER_DN$ para preencher o Assunto com o FQDN do usuário. Não use o caractere de barra invertida (\) no nome do assunto. |
|
Tipo de nome alternativo do assunto |
Clique em + Adicionar para selecionar Nome RFC 822, Nome DNS, Identificador de Recursos Uniforme ou Nenhum, com base nos atributos do modelo de certificado. |
|
Tentativas |
Selecione da lista para configurar o número de tentativas de autenticação após a primeira vez que for retornado o status de "pendente". |
|
Intervalo entre novas tentativas |
Selecione da lista para definir o tempo de espera em segundos antes de uma nova tentativa. |
|
Tamanho da chave |
Selecione o tamanho da chave como 1024, 2048 ou 4096 bits. |
|
Selecione o uso |
Selecione pelo menos uma opção:
|
| Validade | Selecione a validade em dias, meses ou anos. |
|
Impressão digital da CA |
Se a sua autoridade de certificação usar HTTP, insira a sequência hexadecimal que será utilizada como impressão digital do certificado da CA. As impressões digitais MD5 são suportadas. Se você preferir, crie uma impressão digital a partir do certificado. Arraste e solte o certificado na área designada ou clique em Criar do Certificado para selecionar o certificado do seu sistema de arquivos. |
| Família do algoritmo de hash | Selecione algoritmos SHA-2 ou SHA-3. |
Ao aplicar um Certificado de identidade a um perfil de trabalho em um dispositivo sem definir uma senha de Desafio de trabalho (Work Challenge), o dispositivo solicita uma senha do dispositivo, em vez de uma senha de Desafio de trabalho (Work Challenge).
Distribuir configuração
A partir da versão 81 do Ivanti Neurons for MDM, os administradores globais poderão delegar administradores de espaço para editar o certificado de identidade gerado dinamicamente para todos os dispositivos e para a opção de distribuição personalizada. Para os certificados gerados dinamicamente, você pode selecionar a opção Permitir que esta configuração esteja disponível em todos os espaços. Esta opção disponibiliza o Certificado de identidade gerado dinamicamente para todos os Espaços e pode ser usada no Exchange, no Wi-Fi, em VPN e em qualquer outra configuração aplicável, incluindo as configurações gerenciadas de aplicativo. Essa opção pode ser usada em cenários nos quais o certificado de Identidade gerado dinamicamente precisa ser distribuído aos dispositivos (em Espaços que não sejam padrão) somente como parte de configurações associadas e não como uma configuração individual.
Procedimento
- Especifique os campos das configurações do Certificado de Identidade usando as informações da tabela anterior.
- Clique em Avançar.
- Selecione a opção Habilitar essa configuração.
- (Opcional) Selecione Permitir que esta configuração esteja disponível em todos os espaços.
- Selecione uma das opções de distribuição a seguir:
- Todos os dispositivos. Selecione uma das opções a seguir:
- Não se aplica a outros espaços.
- Aplicável a dispositivos em outros espaços.
- Marque a caixa de seleção Permitir que o administrador de espaço edite a distribuição para permitir que os administradores de espaço delegados editem a distribuição do espaço específico.
- Nenhum dispositivo (padrão)
- Personalizado Selecione uma das opções a seguir:
- Não se aplica a outros espaços.
- Aplicável a dispositivos em outros espaços.
- Marque a caixa de seleção Permitir que o administrador de espaço edite a distribuição para permitir que os administradores de espaço delegados editem a distribuição do espaço específico.
Independentemente dos espaços, o Certificado de identidade gerado dinamicamente pode ser configurado em todos os espaços, distribuído a todos os dispositivos e aplicado a todos os dispositivos em outros espaços do dispositivo.
- Todos os dispositivos. Selecione uma das opções a seguir:
- Clique em Concluído .