Windows
Desplegar certificados a dispositivos Windows vía SCEP en Intune usando SCEPman.
El siguiente artículo describe cómo desplegar certificados de dispositivo y/o usuario para dispositivos Windows. El despliegue del Certificado Raíz de SCEPman es obligatorio. Posteriormente, puede elegir entre desplegar solo el certificado de dispositivo, de usuario o incluso ambos tipos de certificados.
Certificado raíz
La base para desplegar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado CA Root y desplegarlo como un certificado de confianza perfil a través de Microsoft Intune:
Tenga en cuenta que debe usar el mismo grupo para asignar el certificado de confianza y el perfil SCEP. De lo contrario, el despliegue en Intune podría fallar.
Certificados de dispositivo
Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}
Recomendado: Usar {{DeviceName}}para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.
Opcional: Si está configurado en CN={{DeviceId}} o CN={{AAD_Device_ID}}, SCEPman utiliza el campo CN del nombre del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:
{{DeviceId}}: Este ID es generado y usado por Intune. (requiere SCEPman 2.0 o superior y AppConfig:IntuneValidation:DeviceDirectory que esté establecido en Intune o AADAndIntune){{AAD_Device_ID}}: Este ID es generado y usado por Microsoft Entra ID (Azure AD).
En caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilicen para el campo CN (por ejemplo CN={{DeviceName}}), SCEPman identificará el dispositivo basado en el ID de dispositivo de Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) proporcionado en el nombre alternativo del sujeto (SAN).
Importante: La elección del campo CN afecta a el comportamiento de revocación automática de los certificados emitidos a sus dispositivos gestionados por Intune.
Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.
Nombre alternativo del sujeto (SAN): (URI)Valor: IntuneDeviceId://{{DeviceId}}
El campo URI es recomendado por Microsoft para que las soluciones NAC identifiquen los dispositivos basándose en su ID de dispositivo de Intune. El valor debe ser:
El campo URI es obligatorio en caso de que tampoco CN={{DeviceId}} ni CN={{AAD_Device_ID}} se use en el formato del nombre del sujeto campo.
Otros valores SAN como DNS se pueden agregar si es necesario.
Período de validez del certificado: 1 año
La cantidad de tiempo restante antes de que expire el certificado. El valor predeterminado es de un año.
SCEPman limita la validez del certificado al máximo configurado en la configuración AppConfig:ValidityPeriodDays, pero de lo contrario utiliza la validez configurada en la solicitud.
Proveedor de almacenamiento de claves (KSP): Inscribirse en el KSP de Módulo de Plataforma Confiable (TPM), de lo contrario fallar
Esta configuración determina la ubicación de almacenamiento de la clave privada para los certificados de usuario final. El almacenamiento en el TPM es más seguro que el almacenamiento por software porque el TPM proporciona una capa adicional de seguridad para evitar el robo de claves.
Nota: Hay un error en algunas versiones antiguas del firmware TPM que invalida algunas firmas creadas con una clave privada respaldada por TPM. En tales casos, el certificado no se puede usar para la autenticación EAP como es común en conexiones Wi‑Fi y VPN. Además, esto podría romper su proceso de incorporación de Autopilot.
Las versiones de firmware TPM afectadas incluyen:
STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
Intel: 11.8.50.3399, 2.0.0.2060
Infineon: 7.63.3353.0
IFX: Versión 3.19 / Especificación 1.2
IFX versión 7.63.3353.0 especificación 2.0
Si utiliza TPM con este firmware, actualice su firmware a una versión más reciente o seleccione "Software KSP" como proveedor de almacenamiento de claves.
Actualización: Puede solucionar el error del TPM eliminando los algoritmos de firma RSA-PSS -que están causando el problema- del registro; para más información, consulte el artículo de Richard Hicks y Microsoft Q&A
Uso de la clave: Firma digital y Cifrado de clave
Por favor, active ambas acciones criptográficas.
SCEPman establece automáticamente el Uso de la clave a Firma digital y Cifrado de clave y anula la configuración aquí a menos que la configuración AppConfig:UseRequestedKeyUsages está configurado en verdadero.
Certificado raíz: Perfil del paso anterior (Perfil de certificado raíz)
Por favor seleccione el perfil de Intune de #Certificado raíz. Si está utilizando un CA intermedia, debe seleccionar el perfil de certificado confiable para la CA intermedia, ¡no para la CA raíz!
Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.
Umbral de renovación (%): 20
Este valor define cuándo el dispositivo tiene permitido renovar su certificado (basado en la vida útil restante de un certificado existente). Por favor lea la nota bajo Período de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 20% permitiría al dispositivo con un certificado válido por 1 año comenzar la renovación 73 días antes del vencimiento.
URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
Ejemplo
Ejemplo
Certificados de usuario
Por favor siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDNs según sus necesidades. Las variables compatibles están listadas en el la documentación de Microsoft. Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: [email protected]) como configuración base.
Nombre alternativo del sujeto (SAN): (UPN)Valor: {{UserPrincipalName}}
Debe agregar el nombre principal del usuario como el Nombre alternativo del sujeto. Agregue '{{UserPrincipalName}}' como Nombre Alternativo del Sujeto de tipo Nombre principal de usuario (UPN). Esto asegura que SCEPman pueda vincular certificados a objetos de usuario en AAD. La configuración para 'Formato del nombre del sujeto' es libremente seleccionable.
Otros valores SAN como una dirección de correo electrónico se pueden agregar si es necesario.
Basado en comentarios de clientes, parece que algunos clientes VPN (por ejemplo, Azure VPN Client para Virtual WAN) no pueden descubrir el certificado de usuario cuando está almacenado en el TPM. Intente inscribirlo en el KSP de software en su lugar.
Ejemplo
Certificado de firma digital de usuario
Puede usar SCEPman para firmas digitales es decir, para la firma S/MIME en Microsoft Outlook. Si planea usar los certificados para la firma de mensajes, debe agregar los usos de clave extendidos correspondientes en la configuración del perfil de Intune.
No use SCEPman para el cifrado de correo electrónico es decir, para el cifrado de correo S/MIME en Microsoft Outlook (sin una tecnología separada para la gestión de claves). La naturaleza de el protocolo SCEP no incluye un mecanismo para respaldar o archivar material de clave privada. Si usara SCEP para el cifrado de correo electrónico, podría perder las claves para descifrar los mensajes más adelante.
AppConfig:UseRequestedKeyUsagesestablecer enverdaderoAppConfig:ValidityPeriodDaysestablecer en365(es posible un valor máximo de 1825 - 5 años)
Para desplegar certificados de usuario utilizados para Firmas digitales siga las instrucciones de #Certificados de usuario y tenga en cuenta las siguientes diferencias y notas:
Nombre alternativo del sujeto
(obligatorio) Nombre principal del usuario (UPN):
{{UserPrincipalName}}(obligatorio) Dirección de correo electrónico:
{{EmailAddress}}
Al desplegar un certificado de firma digital, debe agregar el UPN y la dirección de correo electrónico.
Uso de clave extendido: Correo seguro (1.3.6.1.5.5.7.3.4)
Por favor elija Correo seguro (1.3.6.1.5.5.7.3.4) bajo Valores predefinidos. Los otros campos se completarán automáticamente.
Umbral de renovación (%): 50
Recomendamos establecer el Umbral de renovación (%) en un valor que garantice que los certificados se renueven al menos 6 meses antes del vencimiento al emitir certificados de firma S/MIME. Esto se debe a que los correos electrónicos firmados con certificados caducados aparecen con firmas inválidas en Outlook, lo que confunde a los usuarios. Tener un nuevo certificado mucho antes de que caduque el anterior asegura que solo los correos electrónicos más antiguos muestren este comportamiento, los cuales es menos probable que los usuarios consulten. Por ejemplo, si sus certificados de firma son válidos por un año, debería establecer el Umbral de renovación en al menos 50 %.
Ejemplo
Después de una sincronización de perfil exitosa, debe ver el certificado de usuario para los Propósitos previstos Correo seguro
El certificado estará disponible para el uso de Firma digital en, por ejemplo, Outlook. A continuación hay un ejemplo del uso
Activar firmas S/MIME en Microsoft Outlook
La función S/MIME no está disponible para el cliente Outlook más reciente. Más información aquí.
Una vez que haya desplegado certificados de firma S/MIME en sus equipos cliente, debe configurar Outlook para usar estos certificados antes de enviar correos firmados. Puede hacerlo manualmente o usar nuestro Script de PowerShell para configurar Outlook.
Activar firmas S/MIME en Outlook en la web
Puede firmar correos con S/MIME en Outlook en la web usando certificados de su equipo local de Windows. Necesita habilitar esto con el siguiente comando:
Consulte https://learn.microsoft.com/en-us/powershell/module/exchange/set-smimeconfig para más detalles.
Última actualización
¿Te fue útil?