Citrix Endpoint Management

Directiva de SCEP

Esta directiva le permite configurar dispositivos iOS y macOS para obtener un certificado desde un servidor SCEP externo mediante el Protocolo de inscripción de certificados simple (SCEP). Para entregar un certificado a dispositivos mediante SCEP desde una infraestructura de clave pública que está conectada a Citrix Endpoint Management, cree una entidad de infraestructura de clave pública y un proveedor de PKI en modo distribuido. Para obtener más información, consulte Entidades PKI.

Para agregar o configurar esta directiva, vaya a Configurar > Directivas de dispositivo. Para obtener más información, consulte Directivas de dispositivo.

Parámetros de iOS

Pantalla de configuración Directivas de dispositivo

  • URL base. Escriba la dirección del servidor SCEP para definir dónde se enviarán las solicitudes SCEP, ya sea por HTTP o por HTTPS. La clave privada no se envía con la solicitud de firma de certificado (CSR), por lo que es posible que enviar la solicitud sin cifrar sea una opción segura. Si la contraseña de un solo uso está configurada para su reutilización, use HTTPS para proteger la contraseña. Este paso es obligatorio.
  • Nombre de la instancia. Escriba cualquier cadena que reconozca el servidor SCEP. Por ejemplo, puede ser un nombre de dominio, como ejemplo.org. Si una entidad de certificación dispone de varios certificados de CA, puede usar este campo para diferenciar el dominio pertinente. Este paso es obligatorio.
  • Nombre de sujeto X.500 (RFC 2253): Escriba la representación de un nombre de X.500 como una matriz de identificadores OID y valores. Por ejemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que se traduce en: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Los identificadores OID se pueden representar como números con puntos y que disponen de accesos directos para el país (C), la localidad (L), el estado (ST), la organización (O), la unidad organizativa (OU) y el nombre común (CN).

  • Tipo de nombres alternativos del sujeto: Seleccione un tipo de nombre alternativo. Un tipo de nombre alternativo opcional puede proporcionar los valores requeridos por la entidad de certificación para emitir un certificado. Puede especificar Ninguno, Nombre RFC 822, Nombre DNS o URI.
  • Máximo de reintentos. Escriba la cantidad de veces que un dispositivo vuelve a intentar conectarse cuando el servidor SCEP envía la respuesta PENDIENTE. El valor predeterminado es 3.
  • Demora entre reintentos. Escriba la cantidad de segundos que deben transcurrir entre los reintentos. El primer reintento se produce sin retraso. El valor predeterminado es 10.
  • Verificar contraseña. Escriba un secreto previamente compartido.
  • Tamaño de la clave (bits): Seleccione 2048 o un valor superior para el tamaño de la clave en bits.
  • Usar como firma digital: Elija si quiere utilizar el certificado como firma digital. El servidor SCEP verifica el uso de certificados como firma digital antes de utilizar la clave pública para descifrar el hash.
  • Usar para el cifrado de claves: Elija si quiere utilizar el certificado para el cifrado de claves. Un servidor comprueba primero si el certificado proporcionado por un cliente se puede usar para el cifrado de claves. A continuación, el servidor utiliza la clave pública en un certificado para verificar que una parte de los datos se cifró mediante la clave privada. Si no es así, la operación no se puede realizar.
  • Huella digital SHA-256 (cadena hexadecimal): Si la entidad de certificación utiliza HTTP, utilice este campo para la huella digital del certificado de CA. El dispositivo utiliza la huella digital para confirmar la autenticidad de la respuesta de la entidad de certificación durante la inscripción. Puede proporcionar una huella digital SHA-256 o puede seleccionar un certificado para importar su firma.

  • Configuraciones de directivas
    • Quitar directiva: Elija un método para programar la eliminación de directivas. Las opciones disponibles son Seleccionar fecha y Demora hasta la eliminación (en horas).
      • Seleccionar fecha: Haga clic en el calendario para seleccionar la fecha específica de la eliminación.
      • Demora hasta la eliminación (en horas): Introduzca un número, en horas, hasta que tenga lugar la eliminación de la directiva. Disponible solo para iOS 6.0 y versiones posteriores.

Parámetros de macOS

Pantalla de configuración Directivas de dispositivo

  • URL base. Escriba la dirección del servidor SCEP para definir dónde se enviarán las solicitudes SCEP, ya sea por HTTP o por HTTPS. La clave privada no se envía con la solicitud de firma de certificado (CSR), por lo que es posible que enviar la solicitud sin cifrar sea una opción segura. Si la contraseña de un solo uso está configurada para su reutilización, use HTTPS para proteger la contraseña. Este paso es obligatorio.
  • Nombre de la instancia. Escriba cualquier cadena que reconozca el servidor SCEP. Por ejemplo, puede ser un nombre de dominio, como ejemplo.org. Si una entidad de certificación dispone de varios certificados de CA, puede usar este campo para diferenciar el dominio pertinente. Este paso es obligatorio.
  • Nombre de sujeto X.500 (RFC 2253): Escriba la representación de un nombre de X.500 como una matriz de identificadores OID y valores. Por ejemplo, /C=US/O=Apple Inc./CN=foo/1.2.5.3=bar, que se traduce en: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]. Los identificadores OID se pueden representar como números con puntos y que disponen de accesos directos para el país (C), la localidad (L), el estado (ST), la organización (O), la unidad organizativa (OU) y el nombre común (CN).
  • Tipo de nombres alternativos del sujeto: Seleccione un tipo de nombre alternativo. Un tipo de nombre alternativo opcional puede proporcionar los valores requeridos por la entidad de certificación para emitir un certificado. Puede especificar Ninguno, Nombre RFC 822, Nombre DNS o URI.
  • Máximo de reintentos. Escriba la cantidad de veces que un dispositivo vuelve a intentar conectarse cuando el servidor SCEP envía la respuesta PENDIENTE. El valor predeterminado es 3.
  • Demora entre reintentos. Escriba la cantidad de segundos que deben transcurrir entre los reintentos. El primer reintento se produce sin retraso. El valor predeterminado es 10.
  • Verificar contraseña. Escriba un secreto previamente compartido.
  • Tamaño de la clave (bits): Seleccione 2048 o un valor superior para el tamaño de la clave en bits.
  • Usar como firma digital: Elija si quiere utilizar el certificado como firma digital. El servidor SCEP verifica el uso de certificados como firma digital antes de utilizar la clave pública para descifrar el hash.
  • Usar para el cifrado de claves: Elija si quiere utilizar el certificado para el cifrado de claves. Un servidor comprueba primero si el certificado proporcionado por un cliente se puede usar para el cifrado de claves. A continuación, el servidor utiliza la clave pública en un certificado para verificar que una parte de los datos se cifró mediante la clave privada. Si no es así, la operación no se puede realizar.
  • Huella digital SHA-256 (cadena hexadecimal): Si la entidad de certificación utiliza HTTP, utilice este campo para la huella digital del certificado de CA. El dispositivo utiliza la huella digital para confirmar la autenticidad de la respuesta de la entidad de certificación durante la inscripción. Puede proporcionar una huella digital SHA-256 o puede seleccionar un certificado para importar su firma.

  • Configuraciones de directivas
    • Quitar directiva: Elija un método para programar la eliminación de directivas. Las opciones disponibles son Seleccionar fecha y Demora hasta la eliminación (en horas).
      • Seleccionar fecha: Haga clic en el calendario para seleccionar la fecha específica de la eliminación.
      • Demora hasta la eliminación (en horas): Introduzca un número, en horas, hasta que tenga lugar la eliminación de la directiva.
    • Permitir al usuario quitar la directiva: Puede seleccionar cuándo los usuarios pueden quitar la directiva de su dispositivo. Seleccione Siempre, Código de acceso requerido o Nunca en el menú. Si selecciona Código de acceso requerido, introduzca un código en el campo Código de acceso para la eliminación.
    • Ámbito del perfil: Seleccione si esta directiva se aplica a un usuario o a todo el sistema. El valor predeterminado es Usuario. Esta opción solo está disponible para macOS 10.7 y versiones posteriores.
Directiva de SCEP