# macOS
El siguiente artículo describe cómo implementar certificados de dispositivo o/y de usuario para dispositivos macOS. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo certificados de dispositivo, solo de usuario o incluso ambos tipos de certificado.
{% hint style="warning" %}
Tenga en cuenta que macOS registra un certificado de autenticación de cliente independiente para cada perfil de configuración de dispositivo en el que se hace referencia a un perfil SCEP, además del perfil de certificado SCEP real. Consulte la nota [aquí](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificado raíz
La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un **certificado de confianza** perfil a través de Microsoft Intune:
* [ ] Descargue el certificado de la CA desde el portal de SCEPman:
* [ ] Cree un perfil para macOS con el tipo **certificado de confianza** en Microsoft Intune:
* [ ] Cargue su **archivo .cer**.
* [ ] descargado previamente. Ahora puede implementar este perfil en sus dispositivos. Elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.
{% hint style="info" %}
Tenga en cuenta que debe usar el **mismo grupo para asignar** el **certificado de confianza** y **perfil SCEP**. De lo contrario, la implementación de Intune podría fallar.
{% endhint %}
## Certificados de dispositivo
* [ ] Abra el portal de SCEPman y copie la URL debajo de **Intune MDM**:
* [ ] Cree un perfil para macOS con el tipo **certificado SCEP** en Microsoft Intune:
* [ ] Configure el perfil como se describe:
Tipo de certificado: Dispositivo
En esta sección estamos configurando un certificado de dispositivo.
Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}
**Recomendado:** Use `{{DeviceName}}`para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.
**Opcional:** Si se configura en `CN={{DeviceId}}` o `CN={{AAD_Device_ID}}`, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como base para generar el número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:
* `{{DeviceId}}`: Este ID es generado y usado por Intune.\
\
(requiere [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") que se establezca en **Intune** o **AADAndIntune**)
* `{{AAD_Device_ID}}`: Este ID es generado y usado por Microsoft Entra ID (Azure AD).
En caso de que ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` se usen para el campo CN (por ejemplo, `CN={{DeviceName}})`, SCEPman identificará el dispositivo basándose en el ID de dispositivo de Intune (`(URI)Value:` `IntuneDeviceId://{{DeviceId}}`) proporcionado en el nombre alternativo del sujeto (SAN).
**Importante:** La elección del campo CN afecta al [comportamiento de revocación automática](https://docs.scepman.com/es/manage-certificates#automatic-revocation) de los certificados emitidos para sus dispositivos administrados por Intune.
Puede añadir otros RDN si es necesario (por ejemplo: `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Las variables admitidas se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nombre alternativo del sujeto: URI Valor:IntuneDeviceId://{{DeviceId}}
El campo URI es [recomendado por Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) para que las soluciones NAC identifiquen los dispositivos en función de su ID de dispositivo de Intune.
El **campo URI es obligatorio** en caso de que ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` se use en el campo **Formato del nombre del sujeto** .
Se pueden añadir otros valores SAN como DNS si es necesario.
Período de validez del certificado: 1 años
**Importante:** Los dispositivos macOS ignoran la configuración del período de validez a través de Intune. Asegúrese de configurar [#appconfig-validityperioddays](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/certificates#appconfig-validityperioddays "mention") con un valor fijo. Puede dejar la configuración del período de validez del certificado en 1 año porque se ignorará de todos modos.\
\ **Importante:** Tenga en cuenta también que **los certificados en macOS solo se renuevan** por Intune cuando el dispositivo está **desbloqueado, en línea, sincronizando y dentro del umbral de renovación**. Si los certificados están caducados (por ejemplo, el dispositivo estuvo desconectado y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir aquí un valor más alto.
Uso de la clave: Firma digital y cifrado de clave.
Active ambas acciones criptográficas.
Tamaño de clave (bits): 2048
SCEPman admite 2048 bits.
Certificado raíz: Perfil del paso anterior
Seleccione el perfil de Intune de [#Certificados raíz](#root-certificate)
Uso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Elija **Autenticación de cliente (1.3.6.1.5.5.7.3.2)** en **Valores predefinidos**. Los demás campos se completarán automáticamente.
**Importante:** Los dispositivos macOS no admiten ningún Uso Extendido de Clave (EKU) distinto de `Autenticación de cliente` . Esto significa que cualquier otro EKU configurado en este perfil se ignorará.
Umbral de renovación (%): 50
Este valor define cuándo se permite al dispositivo renovar su certificado (según la vida útil restante del certificado existente). Lea la nota debajo de **Período de validez del certificado** y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 50 % permitiría que un dispositivo con un certificado válido durante 1 año inicie la renovación 182 días antes del vencimiento.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
**Ejemplo**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Con nuestros ajustes indicados, cumplimos [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Ejemplo
* [ ] Ahora puede implementar este perfil en sus dispositivos. Elija los mismos grupos para la asignación que para el perfil de certificado de confianza.
## Certificados de usuario
La siguiente sección le mostrará cómo puede implementar certificados de usuario mediante el perfil de certificado de Intune en dispositivos macOS X 10.12 (o posteriores).
{% hint style="warning" %}
Tenga en cuenta: los certificados provisionados a través del protocolo SCEP, independientemente del tipo (usuario o dispositivo), siempre se colocan en el llavero del sistema (almacén del sistema) del dispositivo.
En caso de que una aplicación de terceros requiera acceso a dicho certificado (por ejemplo, un cliente VPN de terceros), el control deslizante para **Permitir que todas las aplicaciones accedan a la clave privada** en el llavero debe establecerse en **habilitado**.
{% endhint %}
Siga las instrucciones de [#Certificados de dispositivo](#device-certificates) y tenga en cuenta las siguientes diferencias:
Tipo de certificado: Usuario
En esta sección estamos configurando un certificado de usuario.
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN según sus necesidades. Las variables admitidas se enumeran en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: ) como configuración básica.
Nombre alternativo del sujeto: UPN Valor:{{UserPrincipalName}}
SCEPman usa el UPN en el SAN para identificar al usuario y como base para generar el número de serie del certificado (por ejemplo: ).\
\
Se pueden añadir otros valores SAN como la dirección de correo electrónico si es necesario.
{% hint style="info" %}
Con nuestros ajustes indicados, cumplimos [los requisitos de certificados de Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Ejemplo
