# Certificados {% hint style="info" %} Estos ajustes solo deben aplicarse al SCEPman App Service, no al Certificate Master. Consulte [Ajustes de SCEPman](/es/configuracion-de-scepman/application-settings.md). {% endhint %} ## AppConfig:AddMicrosoftAADExtensions *Linux: AppConfig\_\_AddMicrosoftAADExtensions* **Valor:** *true* (predeterminado) o *false* **Descripción:** ¿Los certificados deben tener las extensiones 1.2.840.113556.5.14 (AAD Tenant ID) y 1.2.840.113556.1.5.284.2 (AAD Device ID)? ## AppConfig:AddSidExtension *Linux: AppConfig\_\_AddSidExtension* {% hint style="info" %} Aplicable a la versión 2.5 y posteriores {% endhint %} **Valor:** *true* o *false* (predeterminado) **Descripción:** Este ajuste determina si los certificados pueden tener la extensión 1.3.6.1.4.1.311.25.2 (Security Identifier (SID) del usuario). Esta extensión es necesaria para mitigar [los ataques Certifried](/es/otros/troubleshooting/certifried.md) si los certificados se usan para la autenticación de usuarios de AD local. Si se establece en false, SCEPman nunca emitirá certificados con esta extensión. Si se establece en true, SCEPman puede emitir certificados con esta extensión en dos casos: Primero, al inscribir certificados de usuario mediante Intune y el objeto AAD del usuario contiene un SID en el atributo *OnPremisesSecurityIdentifier*. Si el objeto AAD del usuario no contiene un SID, por ejemplo si es un usuario solo en la nube, SCEPman no emitirá un certificado con esta extensión. Lo mismo se aplica al [punto de conexión static-aad](/es/configuracion-de-scepman/application-settings/scep-endpoints/staticaad-validation.md). Segundo, al inscribir certificados de usuario a través de otros puntos de conexión SCEP y la CSR ya contiene la extensión. Algunos ejemplos son el punto de conexión Static SCEP y las solicitudes manuales de certificados a través de Certificate Master. ## AppConfig:ValidityPeriodDays *Linux: AppConfig\_\_ValidityPeriodDays* **Valor:** *Entero* **Descripción:**\ El número máximo de días durante los cuales un certificado emitido es válido. De forma predeterminada, este ajuste está establecido en **730 días**. Si el ajuste no está disponible (instalaciones antiguas de SCEPman), el período de validez es de **200 días**. SCEPman nunca emite certificados con una validez superior al valor definido aquí. Sin embargo, hay formas de reducir la validez para certificados específicos. Puede configurar períodos de validez más cortos en cada perfil SCEP en Intune, como se describe en la [documentación de Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template). {% hint style="warning" %} Los dispositivos iOS/iPadOS y macOS ignoran la configuración del período de validez a través de Intune. Por lo tanto, debe configurar este ajuste en SCEPman si desea tener otros períodos de validez distintos de 200 días para sus dispositivos iOS/iPadOS y macOS. Lea [iOS/iPadOS](/es/administracion-de-certificados/microsoft-intune/ios.md) para obtener más detalles, donde recomendamos un valor más alto. {% endhint %} También puede configurar **más cortos** períodos de validez para cada punto de conexión SCEP. De forma predeterminada, se establecen los siguientes valores para cada punto de conexión: | Punto de conexión | Parámetro | Validez en días | | ------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------- | | Intune | [AppConfig:IntuneValidation:ValidityPeriodDays](/es/configuracion-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-validityperioddays) | 365 | | Jamf | \ | 730 (configuración global) | | Static | \ | 730 (configuración global) | | Certificate Master | \ | 730 (configuración global) | La imagen siguiente muestra cómo SCEPman limita el período de validez del certificado; primero a nivel de cada punto de conexión y luego de forma global.
## AppConfig:ConcurrentSCEPRequestLimit *Linux: AppConfig\_\_ConcurrentSCEPRequestLimit* **Valor:** Positivo *Entero* **Predeterminado:** 50 **Descripción:** Cuando llegan más solicitudes SCEP a SCEPman, cada solicitud tarda más en completarse. Con frecuencias altas de solicitudes, por ejemplo inmediatamente después de asignar un perfil de configuración SCEP a un gran número de dispositivos, el procesamiento de las solicitudes puede tardar tanto que estas agoten el tiempo de espera. Los clientes volverán a intentar sus solicitudes fallidas, lo que puede mantener la frecuencia de solicitudes por encima del nivel crítico de sobrecarga. Con este ajuste, SCEPman solo procesará este número de solicitudes SCEP en paralelo. Si hay más solicitudes, SCEPman devuelve HTTP 329 (Too Many Requests). En este caso, los clientes basados en Intune volverán a intentar la emisión del certificado más tarde, por lo que normalmente no se pierde ninguna solicitud. Esto garantiza que SCEPman pueda completar las solicitudes a tiempo y tenga la oportunidad de vaciar la cola. ## AppConfig:ValidityClockSkewMinutes *Linux: AppConfig\_\_ValidityClockSkewMinutes* **Valor:** Positivo *Entero* **Predeterminado:** 1440 **Descripción:** Cuando SCEPman emite un certificado, su validez comenzará 24 horas (1440 minutos) antes de su fecha de emisión. Esto se debe a que el reloj del cliente puede ir más lento que el de SCEPman y entonces asumir que el certificado aún no es válido. Algunas plataformas descartan inmediatamente los certificados no válidos, incluso si se volvieran válidos unos segundos después. ## AppConfig:UseRequestedKeyUsages *Linux: AppConfig\_\_UseRequestedKeyUsages* **Valor:** *true* (predeterminado) o *false* **Descripción:** ¿Deben los certificados tener las extensiones Key Usage y Extended Key Usage (EKU) configuradas según lo solicitado, o debe definirlas SCEPman? **True:** Las extensiones Key Usage y Extended Key Usage de los certificados las define la solución MDM.\ **False:** Key Usage siempre es *Key Encipherment* + *Digital Signature*. Extended Key Usage siempre es *Client Authentication*. {% hint style="warning" %} Los dispositivos iOS/iPadOS no admiten usos extendidos de clave personalizados (aunque estén configurados en el perfil de Intune y [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") establecido en **True**). Por lo tanto, sus certificados siempre tendrán *Client Authentication* como Extended Key Usage. {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/es/configuracion-de-scepman/application-settings/certificates.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.