# iOS/iPadOS
El siguiente artículo describe cómo implementar un certificado de dispositivo y/o de usuario para dispositivos iOS e iPadOS. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo el certificado de dispositivo, solo el de usuario o incluso ambos tipos de certificado.
{% hint style="warning" %}
Tenga en cuenta que iOS e iPadOS inscriben certificados de autenticación de cliente separados para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del perfil de certificado SCEP propiamente dicho. Vea [aquí](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificado raíz
La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un **certificado de confianza** perfil mediante Microsoft Intune:
* [ ] Descargue el certificado de la CA desde el portal de SCEPman:
* [ ] Cree un perfil para iOS/iPadOS con el tipo **certificado de confianza** en Microsoft Intune:
* [ ] Cargue su **archivo .cer**.
* [ ] que descargó anteriormente. Ahora puede implementar este perfil en sus dispositivos. Elija Todos los usuarios y/o Todos los dispositivos o un grupo específico para la asignación.
{% hint style="info" %}
Tenga en cuenta que debe usar el **mismo grupo para asignar** el **certificado de confianza** y **perfil SCEP**. De lo contrario, la implementación de Intune podría fallar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra el portal de SCEPman y copie la URL que aparece debajo de **Intune MDM**:
* [ ] Cree un perfil para iOS/iPadOS con el tipo **certificado SCEP** en Microsoft Intune:
* [ ] Configure el perfil como se describe:
Tipo de certificado: Dispositivo
En esta sección estamos configurando un certificado de dispositivo.
Formato del nombre del sujeto: CN={{DeviceId}} o CN={{AAD_Device_ID}}
SCEPman usa el campo CN del sujeto para identificar el dispositivo y como base para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos identificadores diferentes:
* {{DeviceId}}: Este identificador lo genera y usa Intune **(Recomendado)**\
\
(requiere [Validación de Intune](/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) que se establezca en **Intune** o **AADAndIntune**)
* {{AAD\_Device\_ID}}: Este identificador lo genera y usa Microsoft Entra ID (Azure AD).\
\
(Nota: Al usar el registro automatizado de dispositivos mediante Apple Business Manager, este identificador podría cambiar durante la configuración del dispositivo. Si eso ocurre, es posible que SCEPman no pueda identificar el dispositivo después. En ese caso, el certificado dejaría de ser válido.)
Puede agregar otros RDN si es necesario (por ejemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Las variables compatibles se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI está [recomendado por Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para soluciones NAC para identificar los dispositivos en función de su identificador de dispositivo de Intune.
Si es necesario, se pueden agregar otros valores SAN como DNS.
Período de validez del certificado: 1 años
**Importante:** Los dispositivos iOS/iPadOS ignoran la configuración del período de validez mediante Intune. Asegúrese de configurar [Certificados](/es/configuracion-de-scepman/application-settings/certificates.md#appconfig-validityperioddays) con un valor fijo. Recomendamos 2 años, por lo que debe establecer esta variable en la configuración de SCEPman en 730 días. Pero puede dejar la configuración del período de validez del certificado en 1 año, porque Intune la ignorará de todos modos.\
\
**I****mportante:** También tenga en cuenta que **los certificados en iOS/iPadOS solo se renuevan** por Intune cuando el dispositivo está **desbloqueado, en línea, sincronizando y dentro del alcance del umbral de renovación**. Si los certificados han expirado (por ejemplo: el dispositivo estuvo sin conexión y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.
Uso de clave: Firma digital y cifrado de clave
Active ambas acciones criptográficas.
Tamaño de clave (bits): 2048
SCEPman admite 2048 bits.
Certificado raíz: Perfil del paso anterior
Seleccione el perfil de Intune de [#root-certificate](#root-certificate "mention").
Uso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Elija **Autenticación de cliente (1.3.6.1.5.5.7.3.2)** en **Valores predefinidos**. Los demás campos se rellenarán automáticamente.
**Importante:** Los dispositivos iOS/iPadOS no admiten ningún uso extendido de clave (EKU) que no sea `Autenticación de cliente` . Esto significa que cualquier otro EKU configurado en este perfil se ignorará.
Umbral de renovación (%): 50
Este valor define cuándo se permite que el dispositivo renueve su certificado (en función de la vida útil restante del certificado existente). Lea la nota en **Período de validez del certificado** y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 50 % permitiría que un dispositivo con un certificado válido durante 1 año inicie la renovación 182 días antes de su expiración.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
**Ejemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Con la configuración indicada, cumplimos [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Ejemplo
* [ ] Ahora puede implementar este perfil en sus dispositivos. Elija los mismos grupos para la asignación que para el perfil de certificado de confianza.
## Certificados de usuario
Siga las instrucciones de [#device-certificates](#device-certificates "mention") y tenga en cuenta las siguientes diferencias:
Tipo de certificado: Usuario
En esta sección estamos configurando un certificado de usuario.
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN según sus necesidades. Las variables compatibles se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: ) como configuración base.
Nombre alternativo del sujeto: UPN Valor: {{UserPrincipalName}}
SCEPman usa el UPN en el SAN para identificar al usuario y como base para la generación del número de serie del certificado (por ejemplo: ).\
\
Si es necesario, se pueden agregar otros valores SAN como la dirección de correo electrónico.
{% hint style="info" %}
Con la configuración indicada, cumplimos [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Ejemplo
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune/ios.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.