# Certificados

{% hint style="info" %}
Estos ajustes solo deben aplicarse al SCEPman App Service, no al Certificate Master. Consulte [SCEPman Settings](https://docs.scepman.com/es/configuracion-de-scepman/application-settings).
{% endhint %}

## AppConfig:AddMicrosoftAADExtensions

*Linux: AppConfig\_\_AddMicrosoftAADExtensions*

**Valor:** *verdadero* (predeterminado) o *falso*

**Descripción:** ¿Deben los certificados tener las extensiones 1.2.840.113556.5.14 (AAD Tenant ID) y 1.2.840.113556.1.5.284.2 (AAD Device ID)?

## AppConfig:AddSidExtension

*Linux: AppConfig\_\_AddSidExtension*

{% hint style="info" %}
Aplicable a la versión 2.5 y posteriores
{% endhint %}

**Valor:** *verdadero* o *falso* (predeterminado)

**Descripción:** Esta configuración determina si los certificados pueden tener la extensión 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) del usuario). Esta extensión es necesaria para mitigar [ataques Certifried](https://docs.scepman.com/es/otros/troubleshooting/certifried) si los certificados se usan para la autenticación de usuarios de AD local.

Si se establece en false, SCEPman nunca emitirá certificados con esta extensión. Si se establece en true, SCEPman puede emitir certificados con esta extensión en dos casos:

Primero, al inscribir certificados de usuario mediante Intune y el objeto AAD del usuario contiene un SID en el atributo *OnPremisesSecurityIdentifier*. Si el objeto AAD del usuario no contiene un SID, por ejemplo si es un usuario solo en la nube, SCEPman no emitirá un certificado con esta extensión. Lo mismo se aplica al [punto de conexión static-aad](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/scep-endpoints/staticaad-validation).

Segundo, al inscribir certificados de usuario a través de otros puntos de conexión SCEP y la CSR ya contiene la extensión. Algunos ejemplos son el punto de conexión Static SCEP y las solicitudes manuales de certificados a través de Certificate Master.

## AppConfig:ValidityPeriodDays

*Linux: AppConfig\_\_ValidityPeriodDays*

**Valor:** *Integer*

**Descripción:**\
El número máximo de días que un certificado emitido es válido. De forma predeterminada, esta configuración se establece en **730 días**. Si la configuración no está disponible (instalaciones más antiguas de SCEPman), el período de validez es **200 días**. SCEPman nunca emite certificados con una validez mayor que el valor definido aquí. Sin embargo, existen formas de reducir la validez de certificados específicos.

Puede configurar períodos de validez más cortos en cada perfil SCEP en Intune, como se describe en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template).

{% hint style="warning" %}
Los dispositivos iOS/iPadOS y macOS ignoran la configuración del período de validez mediante Intune. Por lo tanto, debe configurar este ajuste en SCEPman si desea tener períodos de validez distintos de 200 días para sus dispositivos iOS/iPadOS y macOS. Lea [ios](https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune/ios "mention") para más detalles, donde recomendamos un valor más alto.
{% endhint %}

También puede configurar **más cortos** períodos de validez para cada punto de conexión SCEP. De forma predeterminada, se establecen los siguientes valores para cada punto de conexión:

| Punto de conexión  | Parámetro                                                                                                                                                                            | Validez en días            |
| ------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------- |
| Intune             | [AppConfig:IntuneValidation:ValidityPeriodDays](https://docs.scepman.com/es/configuracion-de-scepman/scep-endpoints/intune-validation#appconfig-intunevalidation-validityperioddays) | 365                        |
| Jamf               | \<No configurado>                                                                                                                                                                    | 730 (configuración global) |
| Static             | \<No configurado>                                                                                                                                                                    | 730 (configuración global) |
| Certificate Master | \<No configurado>                                                                                                                                                                    | 730 (configuración global) |

La siguiente imagen muestra cómo SCEPman limita el período de validez del certificado; primero a nivel de cada punto de conexión y después de forma global.

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-f081c17fe656bb288df20f9e8b4df6fb81aef92b%2FSCEPman%20Certificate%20Validity.jpg?alt=media" alt=""><figcaption></figcaption></figure>

## AppConfig:ConcurrentSCEPRequestLimit

*Linux: AppConfig\_\_ConcurrentSCEPRequestLimit*

**Valor:** Positive *Integer*

**Predeterminado:** 50

**Descripción:** Cuando llegan más solicitudes SCEP a SCEPman, cada solicitud tarda más en completarse. Con frecuencias de solicitud altas, por ejemplo, justo después de asignar un perfil de configuración SCEP a un gran número de dispositivos, el procesamiento de las solicitudes puede tardar tanto que estas agoten el tiempo de espera. Los clientes reintentarán las solicitudes fallidas, lo que puede mantener la frecuencia de solicitudes por encima del nivel crítico de sobrecarga.

Con esta configuración, SCEPman solo trabajará en paralelo en este número de solicitudes SCEP. Si hay más solicitudes, SCEPman devuelve HTTP 329 (Too Many Requests). Los clientes basados en Intune volverán a intentar la emisión del certificado más adelante en este caso, por lo que normalmente no se pierde ninguna solicitud. Esto garantiza que SCEPman pueda finalizar las solicitudes a tiempo y tenga la oportunidad de procesar la cola.

## AppConfig:ValidityClockSkewMinutes

*Linux: AppConfig\_\_ValidityClockSkewMinutes*

**Valor:** Positive *Integer*

**Predeterminado:** 1440

**Descripción:** Cuando SCEPman emite un certificado, su validez comenzará 24 horas (1440 minutos) antes de su fecha de emisión. Esto se debe a que el reloj del cliente puede ir más lento que el de SCEPman y entonces asumir que el certificado aún no es válido. Algunas plataformas descartan inmediatamente los certificados no válidos, incluso si se vuelven válidos unos segundos después.

## AppConfig:UseRequestedKeyUsages

*Linux: AppConfig\_\_UseRequestedKeyUsages*

**Valor:** *verdadero* o *falso*

**Descripción:** ¿Deben los certificados tener las extensiones Key Usage y Extended Key Usage (EKU) configuradas según lo solicitado, o debe definirlas SCEPman?

**True:** Las extensiones Key Usage y Extended Key Usage de los certificados están definidas por la solución MDM.\
**False:** Key Usage siempre es *Key Encipherment* + *Digital Signature*. Extended Key Usage siempre es *Autenticación de cliente*.

{% hint style="warning" %}
Los dispositivos iOS/iPadOS no admiten usos de clave extendidos personalizados (incluso si están configurados en el perfil de Intune y [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") establecer en **True**). Por lo tanto, sus certificados siempre tendrán *Autenticación de cliente* como Extended Key Usage.
{% endhint %}