# Android
El siguiente artículo describe cómo implementar un certificado de dispositivo o de usuario para Android. La implementación de certificados en Android es similar a las implementaciones de certificados de Windows 10, macOS e iOS.
{% hint style="info" %}
Android ofrece dos conjuntos de soluciones distintos: uno es el [perfil de trabajo](https://developers.google.com/android/work/requirements/work-profile) (conocido como *Perfil de trabajo de propiedad personal)* y el otro es el [dispositivo totalmente administrado](https://developers.google.com/android/work/requirements/fully-managed-device) (también conocido como *Perfil de trabajo totalmente administrado, dedicado y de propiedad corporativa*). En ambos escenarios, la configuración de los perfiles de configuración de certificados permanece coherente.
{% endhint %}
{% hint style="info" %}
La administración de administrador de dispositivos Android se lanzó en Android 2.2 como una forma de administrar dispositivos Android. Luego, a partir de Android 5, se lanzó el marco de administración más moderno de Android Enterprise (para dispositivos que pueden conectarse de forma fiable a Google Mobile Services). **Google está fomentando la migración desde la administración de administrador de dispositivos reduciendo su compatibilidad de administración en las nuevas versiones de Android**. Para obtener más información, consulte [MS. Intune Decreasing support for Android device admin](https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935)
{% endhint %}
## Certificado raíz
La base para implementar certificados SCEP (de dispositivo o de usuario) es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un **certificado de confianza** perfil mediante Microsoft Intune:
* [ ] Descargue el certificado de la CA desde el portal de SCEPman
* [ ] Cree un perfil para Android Enterprise con el tipo **certificado de confianza** en Microsoft Intune (según su opción de inscripción para dispositivos Android)
* [ ] Cargue su archivo **.cer descargado previamente**.
* [ ] Ahora puede implementar este perfil en sus dispositivos. Elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.
{% hint style="info" %}
Tenga en cuenta que debe usar el **mismo grupo para asignar** el **certificado de confianza** y **perfil SCEP**. De lo contrario, la implementación de Intune podría fallar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra el portal de SCEPman y copie la URL debajo de **Intune MDM**
* [ ] Cree un perfil para Android Enterprise con el tipo **certificado SCEP** en Microsoft Intune (de nuevo, según su opción de inscripción para los dispositivos Android)
* [ ] Configure el perfil como se describe
Tipo de certificado: Dispositivo
En esta sección, estamos configurando un certificado de dispositivo.
Formato del nombre del sujeto: CN={{DeviceId}} o CN={{AAD_Device_ID}}
SCEPman utiliza el campo CN del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos identificadores diferentes:
* {{DeviceId}}: Este identificador es generado y utilizado por Intune **(Recomendado).** (Requiere [#AppConfig:IntuneValidation:DeviceDirectory](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) esté configurado en **Intune** o **AADAndIntune**
* {{AAD\_Device\_ID}}: Este identificador es generado y utilizado por Microsoft Entra ID (Azure AD).
Puede agregar otros RDN si es necesario (por ejemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Las variables compatibles se enumeran en la [documentación de Microsoft](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
```
IntuneDeviceId://{{DeviceId}}
```
El campo URI está [recomendado por Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluciones NAC para identificar los dispositivos según su ID de dispositivo de Intune:
Se pueden agregar otros valores SAN como DNS si es necesario.
Período de validez del certificado: 1 año
La cantidad de tiempo restante antes de que expire el certificado. El valor predeterminado es un año.
SCEPman limita la validez del certificado al máximo configurado en la opción [***AppConfig:ValidityPeriodDays***](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/certificates#appconfig-validityperioddays), pero por lo demás usa la validez configurada en la solicitud.
Uso de la clave: Firma digital y cifrado de clave
Active ambas acciones criptográficas.
Tamaño de la clave (bits): 4096
SCEPman admite 4096 bits.
Certificado raíz: Perfil del paso anterior
Seleccione el perfil de Intune de \[[#root-certificate](#root-certificate "mention")]\(android.md#root-certificate).
Si está usando una [CA intermedia](https://docs.scepman.com/es/implementacion-de-scepman/intermediate-certificate), debe seguir seleccionando el perfil de certificado de confianza para la CA raíz, ¡no la CA intermedia!
Uso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Por favor, elija **Autenticación de cliente (1.3.6.1.5.5.7.3.2)** en **Valores predefinidos**. Los demás campos se rellenarán automáticamente.
Umbral de renovación (%): 20
Este valor define cuándo se permite al dispositivo renovar su certificado (según la vida útil restante de un certificado existente). Lea la nota debajo de **Período de validez del certificado** y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo periodo. Un valor del 20 % permitiría al dispositivo con un certificado válido por 1 año iniciar la renovación 73 días antes del vencimiento.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de #Intune MDM
**Ejemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
### **Ejemplo**
## Certificados de usuario
Siga las instrucciones de [#Device certificates](#device-certificates) y tenga en cuenta las siguientes diferencias:
Tipo de certificado: Usuario
En esta sección estamos configurando un certificado de usuario.
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN según sus necesidades. Las variables compatibles se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: ) como configuración básica.
Nombre alternativo del sujeto: (UPN)Valor: {{UserPrincipalName}}
Debe **debe** agregar el nombre principal de usuario como nombre alternativo del sujeto. **Agregue '{{UserPrincipalName}}' como nombre alternativo del sujeto de tipo nombre principal de usuario (UPN).** Esto garantiza que SCEPman pueda vincular los certificados a los objetos de usuario en AAD.
Se pueden agregar otros valores SAN, como una dirección de correo electrónico, si es necesario.
{% hint style="info" %}
Es necesario tener un **nombre alternativo del sujeto** en el **Certificado SCEP, tipo de usuario**. Sin un SAN, no tendrá acceso a la Wi‑Fi de su empresa.
{% endhint %}
### **Ejemplo**
## Comprobación del certificado
Para asegurar la correcta implementación de certificados en su dispositivo Android, hay dos opciones:
* En versiones más nuevas de Android (por ejemplo, 14), puede verificar los certificados (de usuario y certificados de confianza) desde la **configuración** > **seguridad y privacidad**
* Mediante aplicaciones de terceros como [X509 Certificate Viewer Tool](https://play.google.com/store/apps/details?id=com.rdupletlabs.certificateviewer)
