iOS/iPadOS

En esta sección estamos configurando un certificado de dispositivo.

SCEPman utiliza el campo CN del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:

• {{DeviceId}}: Este ID es generado y utilizado por Intune (Recomendado) (requiere SCEPman 2.0 o superior y AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune)

• {{AAD_Device_ID}}: Este ID es generado y utilizado por Microsoft Entra ID (Azure AD). (Nota: Al usar la Inscripción Automática de Dispositivos mediante Apple Business Manager, este ID podría cambiar durante la configuración del dispositivo. Si es así, SCEPman podría no ser capaz de identificar el dispositivo después. En ese caso el certificado se volvería inválido.)

Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.

El campo URI es recomendado por Microsoft para soluciones NAC para identificar los dispositivos basándose en su ID de dispositivo de Intune.

Otros valores SAN como DNS pueden añadirse si es necesario.

Importante: Los dispositivos iOS/iPadOS ignoran la configuración del periodo de validez mediante Intune. Por favor, asegúrese de configurar AppConfig:ValidityPeriodDays a un valor fijo. Recomendamos 2 años, por lo que debe establecer esta variable en la configuración de SCEPman a 730 días. Pero puede dejar el ajuste del periodo de validez del certificado en 1 año porque Intune lo ignora de todos modos. Importante: También tenga en cuenta que los certificados en iOS/iPadOS solo se renuevan por Intune cuando el dispositivo está desbloqueado, en línea, sincronizando y dentro del umbral de renovación. Si los certificados han expirado (por ejemplo: el dispositivo estuvo desconectado y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.

Por favor active ambas acciones criptográficas.

SCEPman soporta 2048 bits.

Por favor seleccione el perfil de Intune de iOS/iPadOS.

Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.

Importante: Los dispositivos iOS/iPadOS no admiten ninguna Extensión de Uso de Clave (EKU) distinta de Autenticación de cliente . Esto significa que cualquier otra EKU configurada en este perfil será ignorada.

Este valor define cuándo se permite al dispositivo renovar su certificado (basado en la vida útil restante del certificado existente). Por favor lea la nota en Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo periodo. Un valor del 50% permitiría al dispositivo con un certificado válido por 1 año comenzar la renovación 182 días antes de la expiración.

Ejemplo

En esta sección estamos configurando un certificado de usuario.

Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.

SCEPman utiliza el UPN en el SAN para identificar al usuario y como semilla para la generación del número de serie del certificado (por ejemplo: [email protected]). Otros valores de SAN como la dirección de correo electrónico pueden añadirse si es necesario.