# Otras soluciones MDM
Puede usar SCEPman para emitir certificados mediante sistemas MDM distintos de Intune. Debe configurar una contraseña de desafío estática (vea [RFC 8894, sección 7.3](https://www.rfc-editor.org/rfc/rfc8894.html#name-challengepassword-shared-se) para la especificación formal) tanto en SCEPman como en el sistema MDM. Prácticamente todos los sistemas MDM admiten este modo de autenticación SCEP.
Tenga en cuenta, sin embargo, que esto no proporciona el mismo nivel de seguridad que el modo de autenticación empleado con Intune. La contraseña de desafío autentica las solicitudes del sistema MDM, de modo que SCEPman sabe que provienen de una fuente confiable. Pero si los atacantes roban la contraseña de desafío, pueden autenticarse en cualquier solicitud de certificado y hacer que SCEPman les emita el certificado que quieran.
Por lo tanto, es crucial mantener segura la contraseña de desafío. Esto puede lograrse cuando el sistema MDM actúa como cliente SCEP y entrega el paquete final que incluye el certificado y la clave privada a los dispositivos de los usuarios finales. De este modo, la contraseña de desafío solo está disponible para SCEPman y el sistema MDM, pero no en los dispositivos de los usuarios finales.
## Configuración de SCEPman
Hay dos extremos SCEP entre los que elegir al configurar SCEPman para sistemas MDM distintos de Intune y Jamf Pro:
* Static-AAD
* Static
Se recomienda el extremo Static-AAD para sistemas MDM con integración de Entra ID, como Kandji y Google Workspace. *Usuario* los certificados distribuidos desde el extremo Static-AAD se beneficiarán de [Revocación automática](/es/administracion-de-certificados/manage-certificates.md#automatic-revocation) cuando el usuario correspondiente haya sido deshabilitado en Entra ID.
Se recomienda el extremo Static para todos los demás sistemas MDM.
{% tabs %}
{% tab title="Static-AAD" %}
Agregue la siguiente configuración a su **SCEPman App Service** > Variables de entorno > Agregar.
Una vez agregada la configuración, guarde los cambios y reinicie su **SCEPman App Service**.
| Configuración | Descripción | Valor |
| :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :-----------------------------------------------------------: |
| [AppConfig:StaticAADValidation:Enabled](/es/configuracion-de-scepman/application-settings/scep-endpoints/staticaad-validation.md#appconfig-staticaadvalidation-enabled) | Habilitar la validación Static-AAD | ***verdadero*** para habilitar, ***falso*** para deshabilitar |
| [AppConfig:StaticAADValidation:RequestPassword](/es/configuracion-de-scepman/application-settings/scep-endpoints/staticaad-validation.md#appconfig-staticaadvalidation-requestpassword) | Las solicitudes de firma de certificados enviadas a SCEPman para su firma se autentican con esta contraseña estática segura
Recomendación: almacene este secreto en Azure KeyVault.
| *genere una contraseña de 32 caracteres* |
| AppConfig:StaticAADValidation:ValidityPeriodDays
(opcional)
| Días durante los que son válidos los certificados emitidos a través del extremo Static-AAD | 365 |
| AppConfig:StaticAADValidation:EnableCertificateStorage
(opcional)
| Almacene los certificados solicitados en la cuenta de almacenamiento, para poder mostrarlos en SCEPman Certificate Master | ***verdadero*** para habilitar, ***falso** para deshabilitar* |
| {% endtab %} | | |
{% tab title="Static" %}
Agregue la siguiente configuración a su **SCEPman App Service** > Variables de entorno > Agregar.
Una vez agregada la configuración, guarde los cambios y reinicie su **SCEPman App Service**.
| Configuración | Descripción | Valor |
| :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :-----------------------------------------------------------: |
| [AppConfig:StaticValidation:Enabled](/es/configuracion-de-scepman/application-settings/scep-endpoints/static-validation.md#appconfig-staticvalidation-enabled) | Habilitar la validación de terceros | ***verdadero*** para habilitar, ***falso*** para deshabilitar |
| [AppConfig:StaticValidation:RequestPassword](/es/configuracion-de-scepman/application-settings/scep-endpoints/static-validation.md#appconfig-staticvalidation-requestpassword) | Las solicitudes de firma de certificados enviadas a SCEPman para su firma se autentican con esta contraseña estática segura
Recomendación: almacene este secreto en Azure KeyVault.
| *genere una contraseña de 32 caracteres* |
| [AppConfig:StaticValidation:ValidityPeriodDays](/es/configuracion-de-scepman/application-settings/scep-endpoints/static-validation.md#appconfig-staticvalidation-validityperioddays) (opcional) | Días durante los que son válidos los certificados emitidos a través del extremo Static | 365 |
| [AppConfig:StaticValidation:EnableCertificateStorage](/es/configuracion-de-scepman/application-settings/scep-endpoints/static-validation.md#appconfig-staticvalidation-enablecertificatestorage) (opcional) | Almacene los certificados solicitados en la cuenta de almacenamiento, para poder mostrarlos en SCEPman Certificate Master | ***verdadero*** para habilitar, ***falso** para deshabilitar* |
| {% endtab %} | | |
| {% endtabs %} | | |
## Configuración de MDM
Los pasos específicos dependen del sistema MDM que esté utilizando. Debe agregar como URL SCEP en algún lugar y debe agregar la contraseña de desafío a la configuración SCEP de su sistema MDM. Por razones de seguridad, haga que su sistema MDM sea un proxy SCEP.
Tenga en cuenta que hay dos variantes de implementación de proxy SCEP, de las cuales solo una es segura en esta configuración:
1. Su sistema MDM puede actuar como cliente SCEP, generar el par de claves secreto y entregar el paquete completo que consta del certificado y la clave privada a los dispositivos de los usuarios finales. Esto es seguro, ya que la contraseña de desafío se usa solo entre el sistema MDM y SCEPman.
2. Su sistema MDM retransmite los mensajes SCEP entre el dispositivo del usuario final y SCEPman. El dispositivo del usuario final genera el par de claves secreto y *agrega la contraseña de desafío* a la solicitud de certificado. Esto es menos seguro, ya que un atacante con control sobre un solo dispositivo de usuario final puede robar la contraseña de desafío y solicitar todo tipo de certificados a SCEPman. Además, el sistema MDM no puede controlar si el cliente ha solicitado correctamente un certificado o si la solicitud de certificado es incorrecta, lo que podría permitir suplantación de identidad u otras amenazas.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/es/administracion-de-certificados/static-certificates.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.