Product Documentation

Para agregar una directiva de protocolo SCEP para dispositivos iOS

May 05, 2016
Esta directiva permite configurar dispositivos iOS para obtener un certificado mediante el Protocolo de inscripción de certificados simple (SCEP) desde un servidor SCEP externo. Si quiere entregar un certificado al dispositivo mediante el protocolo SCEP desde una infraestructura de clave pública que está conectada a XenMobile, debe crear una entidad de infraestructura de clave pública y un proveedor de PKI en modo distribuido. Para obtener más información, consulte Entidades de infraestructura PKI.
  1. En la consola de XenMobile, haga clic en Configure > Device Policies.

    Aparecerá la página Device Policies.


    Página de directivas de dispositivos

  2. Haga clic en Agregar.

    Aparecerá la página Add a New Policy.


    Selección de SCEP

  3. En la página Add a New Policy, haga clic en More y, en Security, haga clic en SCEP.

    Aparecerá la página de información SCEP Policy.


    Página de información acerca de la directiva de SCEP para dispositivos

  4. En el panel Policy Information, escriba la información siguiente:
    1. Policy Name. Escriba un nombre descriptivo para la directiva.
    2. Description. Si quiere, escriba una descripción de la directiva.
  5. Haga clic en Next.

    Aparecerá la página iOS Platform Information.


    Página de información acerca de la directiva de protocolo SCEP para iOS

  6. En la página de información iOS Platform, escriba la información siguiente:
    1. URL base. Escriba la dirección del servidor SCEP para definir dónde se enviarán las solicitudes SCEP, ya sea por HTTP o por HTTPS. La clave privada no se envía con la solicitud de firma de certificado (CSR), por lo que enviar la solicitud sin cifrar puede ser una opción segura. Sin embargo, si se permite volver a utilizar la contraseña de un solo uso, debe utilizar HTTPS para proteger la contraseña. Este paso es obligatorio.
    2. Instance name. Escriba cualquier cadena que reconozca el servidor SCEP. Por ejemplo, puede ser un nombre de dominio, como ejemplo.org. Si una entidad de certificación dispone de varios certificados de CA, puede usar este campo para diferenciar el dominio pertinente. Este paso es obligatorio.
    3. Subject X.500 name (RFC 2253). Escriba la representación de un nombre de X.500 representado como una matriz de identificadores OID y valores. Por ejemplo: /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que se podría traducir como: [ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]. Los identificadores OID se pueden representar como números con puntos y que disponen de accesos directos para el país (C), la localidad (L), el estado (ST), la organización (O), la unidad organizativa (OU) y el nombre común (CN).
    4. Subject alternative names type. En la lista, seleccione un tipo de nombre alternativo. Si lo prefiere, la directiva de SCEP puede especificar un tipo de nombre alternativo que proporciona los valores que requiere la entidad de certificación para emitir un certificado. Puede especificar None, RFC 822 name, DNS name o URI.
    5. Maximum retries. Escriba la cantidad de reintentos permitidos cuando un usuario introduce una contraseña incorrecta. El valor predeterminado es 3.
    6. Retry delay. Escriba un intervalo de tiempo después del cual los usuarios superan la cantidad máxima de reintentos y se bloquea su acceso. El valor predeterminado es 10.
    7. Challenge password. Escriba un secreto previamente compartido. Este paso es obligatorio.
    8. Key size (bits). En la lista, haga clic en el tamaño de la clave en bits, ya sea 1024 o 2048. El valor predeterminado es 1024.
    9. Use as digital signature. Indique esta opción si quiere que el certificado se use como una firma digital. Si alguien usa el certificado para comprobar una firma digital (por ejemplo, para averiguar si el certificado ha sido emitido por una entidad de certificación), el servidor SCEP podría comprobar si ese certificado se puede usar de esa forma antes de usar la clave pública para descifrar el hash.
    10. Use for key encipherment. Indique esta opción si quiere que el certificado se use para el cifrado de clave. Si un servidor utiliza la clave pública en un certificado proporcionado por un cliente para comprobar que una parte de los datos se ha cifrado mediante la clave privada, el servidor puede comprobar primero si el certificado se puede usar para el cifrado de clave. Si no es así, la operación no se puede realizar.
    11. SHA1/MD5 fingerprint (hexadecimal string). Si la entidad de certificación utiliza HTTP, utilice este campo para la huella digital del certificado de CA; el dispositivo se vale de él para confirmar la autenticidad de la respuesta de la entidad durante la inscripción. Puede escribir una huella digital MD5 o SHA-1. También puede seleccionar un certificado para importar su firma.
  7. En Policy Settings, junto a Remove policy, haga clic en Select date o Duration until removal (in days).
  8. Si hace clic en Select date, haga clic en el calendario para seleccionar la fecha específica de la eliminación.
  9. En la lista Allow user to remove policy, haga clic en Always, Password required o Never.
  10. Si hace clic en Password required, junto a Removal password, escriba la contraseña en cuestión.


    Parámetros de eliminación de directivas

  11. Expanda Deployment Rules y, a continuación, configure los siguientes parámetros: La ficha Base aparece de forma predeterminada.


    Reglas de implementación

    1. En las listas, haga clic en las diferentes opciones para determinar cuándo debe implementarse la directiva.
      1. Puede optar por implementar la directiva cuando se cumplan todas las condiciones o cuando se cumpla cualquiera de ellas. La opción predeterminada es All.
      2. Haga clic en New Rule para definir las condiciones.
      3. En las listas, haga clic en las condiciones (por ejemplo, Device ownership y BYOD) tal y como se muestra en la ilustración anterior.
      4. Si quiere agregar más condiciones, haga clic en New Rule de nuevo. Puede agregar cuantas condiciones quiera.
    2. Haga clic en la ficha Advanced para combinar las reglas con opciones booleanas.


      Reglas avanzadas de implementación con reglas de base

      Las condiciones que haya elegido aparecerán en la ficha Base.
    3. Puede usar lógica booleana más avanzada para combinar, modificar o agregar reglas.
      1. Haga clic en AND, OR o NOT.
      2. En la lista que aparece, seleccione las condiciones que quiere agregar a la regla y, a continuación, haga clic en el signo más (+) situado en el lado derecho para agregarlas.

        En cualquier momento, puede hacer clic y seleccionar una condición para modificarla o eliminarla si hace clic en EDIT o en Delete respectivamente.

      3. Si quiere agregar más condiciones, haga clic en New Rule de nuevo.

        En este ejemplo, el dispositivo debe ser personal del empleado, el cifrado local del dispositivo debe ser True y el código móvil del país del dispositivo no puede ser solo Andorra.

        Reglas avanzadas de implementación completadas

  12. Haga clic en Next. Aparecerá la página de asignación SCEP Policy.
  13. Junto a Choose delivery groups, escriba lo que necesite para buscar un grupo de entrega, o bien seleccione un grupo o varios grupos de la lista a la que quiera asignar la directiva. Los grupos que seleccione aparecerán en la lista Delivery groups to receive app assignment, situada a la derecha.


    Página de asignación de directivas

  14. Expanda Deployment Schedule y, a continuación, configure los siguientes parámetros:
    1. Junto a Deploy, haga clic en ON para programar la implementación o haga clic en OFF para cancelarla. La opción predeterminada es ON. Si elige OFF, no habrá ninguna otra opción a configurar.
    2. Junto a Deployment schedule, haga clic en Now o en Later. La opción predeterminada es Now.
    3. Si hace clic en Later, haga clic en el icono de calendario y seleccione la fecha y la hora previstas para la implementación.
    4. Junto a Deployment condition, puede hacer clic en On every connection o en Only when previous deployment has failed. La opción predeterminada es On every connection.
    5. Junto a Deploy for always-on connection, haga clic en ON o en OFF. La opción predeterminada es OFF.
      Nota: Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación. Esta opción se configura en Settings > Server Properties. La opción Deploy for always-on connection no está disponible para dispositivos iOS.
    Nota: La programación de implementaciones que configure es la misma para todas las plataformas. Todos los cambios que se realicen se aplicarán a todas las plataformas, excepto la opción Deploy for always on connection, que no se aplicará para iOS.


    Programación de implementaciones

  15. Haga clic en Save para guardar la directiva.