> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/es/administracion-de-certificados/manage-certificates.md).

# Revocación

SCEPman ofrece varias formas de administrar y revocar un certificado. Las opciones disponibles dependen de

* si el certificado se inscribió automáticamente a través de una solución MDM o si se generó mediante la [Certificate Master UI](/es/administracion-de-certificados/certificate-master.md) / [API REST de inscripción](/es/administracion-de-certificados/api-certificates.md),
* el sistema MDM que se utiliza para la inscripción (automática), y
* la configuración de SCEPman.

La siguiente sección proporciona una visión general de las distintas opciones de administración y mecanismos de revocación, y en qué circunstancias están disponibles.

## Revocación automática

{% hint style="info" %}
Solo disponible cuando **Microsoft Intune** y/o **Jamf Pro** se utilizan como solución(es) MDM para la inscripción de certificados. Alternativamente, está disponible con cualquier MDM de terceros que pueda sincronizar objetos de dispositivo y/o usuario con Microsoft Entra ID (Azure AD) (es decir, [Static AAD Validation](/es/configuracion-de-scepman/application-settings/scep-endpoints/staticaad-validation.md) se puede usar).
{% endhint %}

{% hint style="success" %}
Compatible en **OCSP**.
{% endhint %}

### Antecedentes

La revocación automática **siempre está activa** y permite una gestión cómoda del ciclo de vida de los certificados al vincular cada certificado a un objeto de directorio, como un usuario o una identidad de dispositivo. Mediante este mecanismo de vinculación de objetos, SCEPman puede inferir el estado de revocación en función de ciertas características del ciclo de vida del objeto al que se ha vinculado. El mapeo del estado del ciclo de vida del objeto al estado de revocación del certificado se implementa para ajustarse a las mejores prácticas derivadas de años de experiencia en seguridad y gestión de endpoints. 

La vinculación entre el objeto de directorio (usuario o dispositivo) y el certificado se establece introduciendo variables adecuadas en el perfil SCEP para las propiedades Subject Name o Subject Alternative Name. Al recibir una Certificate Signing Request (CSR) de un cliente gestionado por MDM, SCEPman identifica el objeto vinculado y codifica esta información en el número de serie del certificado antes de devolverlo al cliente. Es el número de serie el que se transmite al respondedor OCSP de SCEPman durante la validación del certificado, lo que permite a SCEPman decodificar la información del objeto, realizar una búsqueda en el directorio correspondiente y, finalmente, tomar una decisión sobre el estado de revocación.

### Comportamiento de la revocación

{% hint style="success" %}
En cualquiera de los escenarios siguientes, la revocación puede considerarse efectiva inmediatamente, una vez que el estado del objeto vinculado haya cambiado. Tenga en cuenta que el almacenamiento en caché local de las respuestas OCSP en el cliente puede sugerir lo contrario.
{% endhint %}

{% hint style="warning" %}
Durante las pruebas, tenga en cuenta que eliminar/quitar un dispositivo del directorio/solución MDM respectivo es una operación irreversible que requerirá que vuelva a inscribir el dispositivo posteriormente.
{% endhint %}

<table><thead><tr><th width="262">Objeto vinculado</th><th>Eliminar del directorio</th><th>Deshabilitar en el directorio</th><th>Opcional </th></tr></thead><tbody><tr><td>Dispositivo de Intune <code>{{DeviceId}}</code></td><td><strong>Eliminar</strong>, <a href="https://learn.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe#wipe"><strong>Borrado</strong></a><strong>*</strong>, <a href="https://learn.microsoft.com/en-us/mem/intune/remote-actions/devices-wipe#retire"><strong>Retirar</strong></a><strong>*</strong>: <em>revocación permanente</em></td><td>No disponible</td><td><ul><li><a href="/pages/ed51ef19369e28fe64f5268e7c033229f7eb150e#appconfig-intunevalidation-compliancecheck"><strong>Cumplimiento de dispositivo de Intune</strong></a>: <em>revocación reversible</em></li><li><a href="https://docs.scepman.com/advanced-configuration/application-settings/intune-validation#appconfig-intunevalidation-devicedirectory:~:text=The%20value%20AADAndIntuneAndEndpointlist"><strong>Lista de endpoints</strong></a>: <em>revocación permanente</em></li></ul></td></tr><tr><td>Dispositivo de Entra (Azure AD)<br><code>{{AAD_Device_ID}}</code><br></td><td><strong>Eliminar</strong>: <em>revocación permanente</em></td><td><strong>Deshabilitar</strong>: <em>revocación reversible</em></td><td><ul><li><a href="/pages/ed51ef19369e28fe64f5268e7c033229f7eb150e#appconfig-intunevalidation-compliancecheck"><strong>Cumplimiento de dispositivo de Entra (Azure AD)</strong></a>: <em>revocación reversible</em></li><li><a href="https://docs.scepman.com/advanced-configuration/application-settings/intune-validation#appconfig-intunevalidation-devicedirectory:~:text=The%20value%20AADAndIntuneAndEndpointlist"><strong>Lista de endpoints</strong></a>: <em>revocación permanente</em></li></ul></td></tr><tr><td>Usuario de Entra (Azure AD)<br><code>{{UserPrincipalName}}</code></td><td><strong>Eliminar</strong>: <em>revocación permanente</em></td><td><strong>Deshabilitar</strong>: <em>revocación reversible</em></td><td><ul><li><a href="/pages/ed51ef19369e28fe64f5268e7c033229f7eb150e#appconfig-intunevalidation-waitforsuccessnotificationresponse"><strong>Riesgo de usuario</strong></a>: <em>revocación reversible</em></li><li><a href="https://docs.scepman.com/advanced-configuration/application-settings/intune-validation#appconfig-intunevalidation-devicedirectory:~:text=The%20value%20AADAndIntuneAndEndpointlist"><strong>Lista de endpoints</strong></a>: <em>revocación permanente</em></li></ul></td></tr><tr><td><a href="/pages/5a5bec2c62bfcd5ba9fa0afa6eb844c8a76176dd">Equipo Jamf</a><br><code>CN=$JSSID,OU=computers</code></td><td><strong>Eliminar</strong>: <em>revocación permanente</em></td><td>No disponible</td><td>No disponible</td></tr><tr><td><a href="/pages/d15db803f42e65e80b5975243cd6650548f4d925">Dispositivo Jamf</a><br><code>CN=$JSSID,OU=devices</code></td><td><strong>Eliminar</strong>: <em>revocación permanente</em></td><td>No disponible</td><td>No disponible</td></tr><tr><td><a href="/pages/d5cf8a799eff4c530f69cf35e13816bcb6d0bca1#user-certificates-on-computers">Usuario Jamf en equipo</a><br><code>CN=$JSSID,OU=users-on-computers</code><br></td><td><ul><li><strong>Eliminar (equipo)</strong>: <em>revocación permanente</em></li><li><strong>Eliminar (usuario)</strong>: <em>revocación permanente</em></li></ul></td><td>No disponible</td><td>No disponible</td></tr><tr><td><a href="/pages/d5cf8a799eff4c530f69cf35e13816bcb6d0bca1#user-certificates-on-devices">Usuario Jamf en dispositivo</a><br><code>CN=$JSSID,OU=users-on-devices</code></td><td><ul><li><strong>Eliminar (dispositivo)</strong>: <em>revocación permanente</em></li><li><strong>Eliminar (usuario)</strong>: <em>revocación permanente</em></li></ul></td><td>No disponible</td><td>No disponible</td></tr></tbody></table>

\*: Asegúrese durante el borrado de que "Borrar dispositivo, pero conservar el estado de inscripción y la cuenta de usuario asociada" **deshabilitarse**. La revocación solo es inmediata si [AppConfig:IntuneValidation:RevokeCertificatesOnWipe](/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-revokecertificatesonwipe) está establecido en true (predeterminado).

## Revocación manual

{% hint style="warning" %}
solo en SCEPman Enterprise Edition
{% endhint %}

{% hint style="info" %}
Esta función requiere la versión **2.3** o superior.
{% endhint %}

{% hint style="success" %}
Compatible en **OCSP** y [**CRL**](/es/configuracion-de-scepman/application-settings/crl.md).
{% endhint %}

### Antecedentes

La revocación manual está disponible para cualquier certificado emitido por SCEPman, independientemente de si se inscribió automáticamente a través de MDM, se emitió manualmente mediante el Certificate Master o se desplegó a través de la API REST de inscripción. La revocación manual es útil cuando la revocación automática no está disponible o cuando las rutas de revocación automática no son suficientes para cumplir requisitos específicos.

Para facilitar la revocación manual, SCEPman necesita almacenar ciertos metadatos de los certificados que emite. Aunque esto ocurre de forma predeterminada para los certificados emitidos a través de la Certificate Master UI y la API REST de inscripción, no es así para otros tipos de certificados. Por lo tanto, asegúrese de revisar la [configuración relevante](#storing-certificate-metadata-in-the-certificate-database) según sus requisitos.&#x20;

Siga leyendo para saber cómo se gestiona la revocación manual aprovechando Certificate Master y sus opciones de búsqueda y filtrado.

### Certificate Master

SCEPman Certificate Master le permite buscar, inspeccionar y administrar los certificados que ha emitido su PKI de SCEPman:

{% content-ref url="/pages/4329bb1f206b8c5f369a8b4efd50f818dd8e3bef" %}
[Administrar certificados](/es/administracion-de-certificados/certificate-master/manage-certificates.md)
{% endcontent-ref %}

## Revocación automática frente a manual

SCEPman utiliza diferentes fuentes de información de revocación para determinar si un certificado es válido cuando llega una solicitud OCSP. Además, la lógica de revocación de SCEPman sigue un **enfoque basado en OR**, lo que significa que si alguna fuente de revocación considera que el certificado no es válido, se informará como revocado. No existe prioridad de la revocación automática sobre la manual ni viceversa.&#x20;

Tenga en cuenta que las tablas de Certificate Master solo muestran el estado de la revocación manual y no otras fuentes. Por lo tanto, un certificado puede mostrarse como válido en la tabla, aunque en realidad se considere revocado, por ejemplo, porque el dispositivo correspondiente fue eliminado en Intune (revocación automática).&#x20;

## Lectura adicional

* Puede encontrar información sobre cómo probar la revocación (automática) y solucionar problemas de validez de certificados en algunos de los escenarios anteriores [aquí](/es/otros/troubleshooting/general.md#problems-with-the-validity-of-certificates).
* Puede encontrar información general sobre los directorios de dispositivos de Azure y M365 [aquí](/es/configuracion-de-scepman/device-directories.md).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.scepman.com/es/administracion-de-certificados/manage-certificates.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.