Product Documentation

Directivas SCEP de dispositivos

Mar 02, 2017

Esta directiva permite configurar dispositivos iOS y Mac OS X para obtener un certificado mediante el Protocolo de inscripción de certificados simple (SCEP) desde un servidor SCEP externo. Si quiere entregar un certificado al dispositivo mediante el protocolo SCEP desde una infraestructura de clave pública que está conectada a XenMobile, debe crear una entidad de infraestructura de clave pública y un proveedor de PKI en modo distribuido. Para obtener más información, consulte Entidades de infraestructura PKI.  

Configuración de iOS

Configuración de Mac OS X

1. En la consola de XenMobile, haga clic en Configure > Device Policies. Aparecerá la página Device Policies.

2. Haga clic en Add. Aparecerá el cuadro de diálogo Add New Policy.

3. Expanda More y, a continuación, en Security, haga clic en SCEP. Aparecerá la página de información SCEP Policy.

localized image

4. En el panel Policy Information, escriba la información siguiente:

  • Policy Name. Escriba un nombre descriptivo para la directiva.
  • Description. Escriba, si quiere, una descripción para la directiva.

5. Haga clic en Siguiente. Aparecerá la página Platforms.

6. En Platforms, seleccione las plataformas que quiera agregar. Si solo va a configurar una plataforma, desmarque las demás.

Cuando termine de configurar los parámetros de configuración para una plataforma, consulte el paso 7 para la configuración de las reglas de implementación de esa plataforma. 

Configuración de los parámetros de iOS

localized image

Configure estos parámetros:

  • URL base. Escriba la dirección del servidor SCEP para definir dónde se enviarán las solicitudes SCEP, ya sea por HTTP o por HTTPS. La clave privada no se envía con la solicitud de firma de certificado (CSR), por lo que enviar la solicitud sin cifrar puede ser una opción segura. Sin embargo, si se permite volver a utilizar la contraseña de un solo uso, debe utilizar HTTPS para proteger la contraseña. Este paso es obligatorio.
  • Instance name. Escriba cualquier cadena que reconozca el servidor SCEP. Por ejemplo, puede ser un nombre de dominio, como ejemplo.org. Si una entidad de certificación dispone de varios certificados de CA, puede usar este campo para diferenciar el dominio pertinente. Este paso es obligatorio.
  • Subject X.500 name (RFC 2253). Escriba la representación de un nombre de X.500 representado como una matriz de identificadores OID y valores. Por ejemplo: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que se podría traducir como: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]. Los identificadores OID se pueden representar como números con puntos y que disponen de accesos directos para el país (C), la localidad (L), el estado (ST), la organización (O), la unidad organizativa (OU) y el nombre común (CN).
  • Subject alternative names type. En la lista, seleccione un tipo de nombre alternativo. Si lo prefiere, la directiva de SCEP puede especificar un tipo de nombre alternativo que proporciona los valores que requiere la entidad de certificación para emitir un certificado. Puede especificar None, RFC 822 name, DNS name o URI.
  • Maximum retries. Escriba el número de veces que un dispositivo debe volver a intentar la conexión cuando el servidor SCEP envía la respuesta PENDING. El valor predeterminado es 3.
  • Retry delay. Escriba el número de segundos que se deben esperar entre los reintentos. El primer reintento se produce sin retraso. El valor predeterminado es 10.
  • Challenge password. Escriba un secreto previamente compartido.
  • Key size (bits). En la lista, haga clic en el tamaño de la clave en bits, ya sea 1024 o 2048. El valor predeterminado es 1024.
  • Use as digital signature. Indique esta opción si quiere que el certificado se use como una firma digital. Si alguien usa el certificado para comprobar una firma digital (por ejemplo, para averiguar si el certificado ha sido emitido por una entidad de certificación), el servidor SCEP podría comprobar si ese certificado se puede usar de esa forma antes de usar la clave pública para descifrar el hash.
  • Use for key encipherment. Indique esta opción si quiere que el certificado se use para el cifrado de clave. Si un servidor utiliza la clave pública en un certificado proporcionado por un cliente para comprobar que una parte de los datos se ha cifrado mediante la clave privada, el servidor puede comprobar primero si el certificado se puede usar para el cifrado de clave. Si no es así, la operación no se puede realizar.
  • SHA1/MD5 fingerprint (hexadecimal string). Si la entidad de certificación utiliza HTTP, utilice este campo para la huella digital del certificado de CA; el dispositivo se vale de él para confirmar la autenticidad de la respuesta de la entidad durante la inscripción. Puede escribir una huella digital MD5 o SHA-1. También puede seleccionar un certificado para importar su firma.
  • Configuraciones de directivas
    • En Policy Settings, junto a Remove policy, haga clic en Select date o Duration until removal (in days).
    • Si hace clic en Select date, haga clic en el calendario para seleccionar la fecha específica de la eliminación.
    • En la lista Allow user to remove policy, haga clic en Always, Password required o Never.
    • Si hace clic en Password required, junto a Removal password, escriba la contraseña en cuestión.

Configuración de los parámetros de Mac OS X

localized image

Configure estos parámetros:

  • URL base. Escriba la dirección del servidor SCEP para definir dónde se enviarán las solicitudes SCEP, ya sea por HTTP o por HTTPS. La clave privada no se envía con la solicitud de firma de certificado (CSR), por lo que enviar la solicitud sin cifrar puede ser una opción segura. Sin embargo, si se permite volver a utilizar la contraseña de un solo uso, debe utilizar HTTPS para proteger la contraseña. Este paso es obligatorio.
  • Instance name. Escriba cualquier cadena que reconozca el servidor SCEP. Por ejemplo, puede ser un nombre de dominio, como ejemplo.org. Si una entidad de certificación dispone de varios certificados de CA, puede usar este campo para diferenciar el dominio pertinente. Este paso es obligatorio.
  • Subject X.500 name (RFC 2253). Escriba la representación de un nombre de X.500 representado como una matriz de identificadores OID y valores. Por ejemplo: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que se podría traducir como: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]. Los identificadores OID se pueden representar como números con puntos y que disponen de accesos directos para el país (C), la localidad (L), el estado (ST), la organización (O), la unidad organizativa (OU) y el nombre común (CN).
  • Subject alternative names type. En la lista, seleccione un tipo de nombre alternativo. Si lo prefiere, la directiva de SCEP puede especificar un tipo de nombre alternativo que proporciona los valores que requiere la entidad de certificación para emitir un certificado. Puede especificar None, RFC 822 name, DNS name o URI.
  • Maximum retries. Escriba el número de veces que un dispositivo debe volver a intentar la conexión cuando el servidor SCEP envía la respuesta PENDING. El valor predeterminado es 3.
  • Retry delay. Escriba el número de segundos que se deben esperar entre los reintentos. El primer reintento se produce sin retraso. El valor predeterminado es 10.
  • Challenge password. Escriba un secreto previamente compartido.
  • Key size (bits). En la lista, haga clic en el tamaño de la clave en bits, ya sea 1024 o 2048. El valor predeterminado es 1024.
  • Use as digital signature. Indique esta opción si quiere que el certificado se use como una firma digital. Si alguien usa el certificado para comprobar una firma digital (por ejemplo, para averiguar si el certificado ha sido emitido por una entidad de certificación), el servidor SCEP podría comprobar si ese certificado se puede usar de esa forma antes de usar la clave pública para descifrar el hash.
  • Use for key encipherment. Indique esta opción si quiere que el certificado se use para el cifrado de clave. Si un servidor utiliza la clave pública en un certificado proporcionado por un cliente para comprobar que una parte de los datos se ha cifrado mediante la clave privada, el servidor puede comprobar primero si el certificado se puede usar para el cifrado de clave. Si no es así, la operación no se puede realizar.
  • SHA1/MD5 fingerprint (hexadecimal string). Si la entidad de certificación utiliza HTTP, utilice este campo para la huella digital del certificado de CA; el dispositivo se vale de él para confirmar la autenticidad de la respuesta de la entidad durante la inscripción. Puede escribir una huella digital MD5 o SHA1. También puede seleccionar un certificado para importar su firma.
  • Configuraciones de directivas
    • En Policy Settings, junto a Remove policy, haga clic en Select date o Duration until removal (in days).
    • Si hace clic en Select date, haga clic en el calendario para seleccionar la fecha específica de la eliminación.
    • En la lista Allow user to remove policy, haga clic en Always, Password required o Never.
    • Si hace clic en Password required, junto a Removal password, escriba la contraseña en cuestión.
    • Junto a Profile scope, haga clic en User o en System. El valor predeterminado es User. Esta opción solo está disponible para OS X 10.7 y versiones posteriores.
7. Configure las reglas de implementación.

8. Haga clic en Next. Aparecerá la página de asignación SCEP Policy.

9. Junto a Choose delivery groups, escriba lo que necesite para buscar un grupo de entrega, o bien seleccione un grupo o varios grupos de la lista a la que quiera asignar la directiva. Los grupos que seleccione aparecerán en la lista Delivery groups to receive app assignment, situada a la derecha.

10. Expanda Deployment Schedule y, a continuación, configure los siguientes parámetros:

  • Junto a Deploy, haga clic en ON para programar la implementación o haga clic en OFF para cancelarla. La opción predeterminada es ON. Si elige OFF, no habrá ninguna otra opción a configurar.
  • Junto a Deployment schedule, haga clic en Now o en Later. La opción predeterminada es Now.
  • Si hace clic en Later, haga clic en el icono de calendario y seleccione la fecha y la hora previstas para la implementación.
  • Junto a Deployment condition, puede hacer clic en On every connection o en Only when previous deployment has failed. La opción predeterminada es On every connection.
  • Junto a Deploy for always-on connection, haga clic en ON o en OFF. La opción predeterminada es OFF.

Nota:

  • Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación en Settings > Server Properties. La opción Deploy for always-on connection no está disponible para dispositivos iOS.
  • La programación de implementaciones que configure es la misma para todas las plataformas. Todos los cambios que se realicen se aplicarán a todas las plataformas, excepto la opción Deploy for always on connection, que no se aplicará para iOS.

11. Haga clic en Save para guardar la directiva.