macOS

En esta sección estamos configurando un certificado de dispositivo.

Recomendado: Use {{DeviceName}}para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.

Opcional: Si se configura a CN={{DeviceId}} o CN={{AAD_Device_ID}}, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:

• {{DeviceId}}: Este ID es generado y utilizado por Intune. (requiere SCEPman 2.0 o superior y AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune)

• {{AAD_Device_ID}}: Este ID es generado y utilizado por Microsoft Entra ID (Azure AD).

En caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilicen para el campo CN (p. ej. CN={{DeviceName}}), SCEPman identificará el dispositivo basado en el ID de dispositivo de Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) provisto en el nombre alternativo del sujeto (SAN).

Importante: La elección del campo CN afecta el comportamiento de revocación automática de los certificados emitidos a sus dispositivos gestionados por Intune.

Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.

El campo URI es recomendado por Microsoft para que las soluciones NAC identifiquen los dispositivos en función de su ID de dispositivo de Intune.

El campo URI es obligatorio en caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilice en el Formato del nombre del sujeto campo.

Otros valores SAN como DNS pueden añadirse si es necesario.

Importante: los dispositivos macOS ignoran la configuración del período de validez vía Intune. Por favor, asegúrese de configurar AppConfig:ValidityPeriodDays a un valor fijo. Puede dejar la configuración del período de validez del certificado en 1 año porque de todos modos será ignorada. Importante: También tenga en cuenta, que los certificados en macOS solo se renuevan por Intune cuando el dispositivo está desbloqueado, en línea, sincronizando y dentro del umbral de renovación. Si los certificados han expirado (p. ej.: el dispositivo estuvo sin conexión y/o bloqueado durante mucho tiempo), ya no se renovarán. Por lo tanto, recomendamos elegir un valor más alto aquí.

Por favor active ambas acciones criptográficas.

SCEPman soporta 2048 bits.

Por favor seleccione el perfil de Intune de #Certificados raíz

Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.

Importante: Los dispositivos macOS no admiten ningún Usos Extendidos de Clave (EKU) distinto a Autenticación de Cliente . Esto significa que cualquier otro EKU configurado en este perfil será ignorado.

Este valor define cuándo se permite al dispositivo renovar su certificado (basado en la vida útil restante del certificado existente). Por favor lea la nota en Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo periodo. Un valor del 50% permitiría al dispositivo con un certificado válido por 1 año comenzar la renovación 182 días antes de la expiración.

Ejemplo

En esta sección estamos configurando un certificado de usuario.

Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.

SCEPman utiliza el UPN en el SAN para identificar al usuario y como semilla para la generación del número de serie del certificado (p. ej.: [email protected]). Se pueden añadir otros valores SAN como Dirección de correo electrónico si es necesario.