Adición de un perfil de SCEP a dispositivos de MDM de iOS

Debe agregar un perfil de SCEP para permitir al usuario del dispositivo iOS con MDM recibir automáticamente certificados del Centro de certificación a través de Internet. El perfil de SCEP permite la compatibilidad con el protocolo de inscripción de certificados simple.

De forma predeterminada, se agrega un perfil de SCEP con la siguiente configuración:

• El nombre de sujeto alternativo no se utiliza para registrar certificados.
• Tres intentos con 10 segundos de diferencia hacen que se sondee el servidor SCEP. Si todos los intentos de firmar el certificado han fallado, tiene que generar una nueva solicitud de firma de certificado.
• El certificado recibido no se puede utilizar para la firma ni el cifrado de datos.

Puede modificar la configuración especificada al agregar el perfil de SCEP.

Para agregar un perfil de SCEP:

1. En el árbol de la consola, en la carpeta Dispositivos administrados, seleccionan el grupo de administración al cual los dispositivos iOS con MDM pertenecen.
2. En el espacio de trabajo del grupo, seleccione la pestaña Directivas.
3. Abra la ventana de propiedades de la directiva haciendo doble clic en ella.
4. En la ventana Propiedades de la directiva, seleccione la sección SCEP.
5. Haga clic en el botón Agregar de la sección Perfiles de SCEP.

   Se abrirá la ventana Perfil de SCEP.

6. En el campo Dirección web del servidor, introduzca la dirección web del servidor SCEP en la que está implementado el centro de certificación.

   La URL puede contener la dirección IP o el nombre de dominio completo (FQDN). Por ejemplo: http://10.10.10.10/servidorcert/scepempresa.

7. En el campo Nombre, introduzca el nombre del centro de certificación implementado en el servidor SCEP.
8. En el campo Firmante, introduzca una cadena con los atributos del usuario del dispositivo MDM de iOS contenidos en el certificado X.500.

   Los atributos pueden contener detalles del país (C), la organización (O) y el nombre de usuario común (CN). Por ejemplo: /C=RU/O=MiEmpresa/CN=Usuario/. También puede utilizar otros atributos especificados en RFC 5280.

9. En la lista desplegable Tipo de nombre alternativo del sujeto, seleccione el tipo de nombre alternativo del sujeto del servidor SCEP:
   • No: No se utiliza una identificación del nombre alternativa.
   • Nombre de RFC 822: La identificación que utiliza la dirección de correo electrónico. La dirección de correo electrónico debe especificarse conforme a RFC 822.
   • Nombre DNS: La identificación que utiliza el nombre de dominio.
   • URI: La identificación que utiliza la dirección IP o la dirección con formato FQDN.

   Puede utilizar un nombre alternativo del sujeto para identificar al usuario del dispositivo móvil de MDM de iOS.

10. En el campo Nombre alternativo del firmante, introduzca el nombre alternativo del sujeto del certificado X.500. El valor del nombre alternativo del asunto depende del tipo de asunto: dirección de correo electrónico del usuario, dominio o dirección web.
11. En el campo Nombre del sujeto NT, introduzca el nombre DNS del usuario del dispositivo móvil MDM de iOS de la red de Windows NT.

    El nombre del sujeto NT se incluye en la solicitud de certificado enviada al servidor SCEP.

12. En el campo Número de intentos de sondeo del servidor SCEP, especifique el número máximo de intentos de sondeo del servidor SCEP para firmar el certificado.
13. En el campo Frecuencia de los intentos (s), especifique el tiempo en segundos entre los intentos de sondear el servidor SCEP para firmar el certificado.
14. En el campo Solicitud de registro, introduzca una clave de registro prepublicada.

    Antes de firmar un certificado, el servidor SCEP solicita al usuario del dispositivo móvil proporcionar la clave. Si se deja este campo vacío, el SCEP no solicita la clave.

15. En la lista desplegable Tamaño de la clave, seleccione el tamaño de la clave del registro en bits: 1024 o 2048.
16. Si desea permitir al usuario utilizar un certificado recibido del servidor SCEP como certificado de firma, seleccione la casilla de verificación Utilizar para firmar.
17. Si desea permitir al usuario utilizar un certificado recibido del servidor SCEP para el cifrado de datos, seleccione la casilla de verificación Utilizar para el cifrado.

    Se prohíbe utilizar el certificado del servidor SCEP como certificado de firma de datos y un certificado de cifrado de datos al mismo tiempo.

18. En el campo Huella digital del certificado, introduzca una huella digital de certificado única para comprobar la autenticidad de la respuesta del centro de certificación. Puede utilizar huellas digitales del certificado con el algoritmo de hash MD5 o SHA-1. Puede copiar la huella digital del certificado manualmente o seleccionar un certificado usando el botón Crear a partir de un certificado. Cuando se crea la huella con el botón Crear a partir de un certificado, esta se agrega al campo automáticamente.

    La huella del certificado debe especificarse si el intercambio de datos entre el dispositivo móvil y el centro de certificación se produce a través del protocolo HTTP.

19. Haga clic en Aceptar.

    Aparecerá el nuevo perfil de SCEP en la lista.

20. Haga clic en el botón Aplicar para guardar los cambios que ha realizado.

Al hacerlo, una vez aplicada la directiva, el dispositivo móvil del usuario quedará configurado para recibir un certificado del Centro de certificación automáticamente a través de Internet.