Windows

Desplegar certificados a dispositivos Windows vía SCEP en Intune usando SCEPman.

El siguiente artículo describe el despliegue de certificados de dispositivo y/o usuario para dispositivos Windows. El despliegue del Certificado Raíz de SCEPman es obligatorio. Posteriormente, puede elegir entre desplegar solo el certificado de dispositivo, el de usuario o incluso ambos tipos de certificados.

Certificado raíz

La base para desplegar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado CA raíz y desplegarlo como un certificado de confianza perfil a través de Microsoft Intune:

Descargue el certificado CA desde el portal de SCEPman:

Cree un perfil para Windows 10 y posteriores con el tipo certificado de confianza en Microsoft Intune:

Suba su previamente descargado archivo .cer.
Ahora puede desplegar este perfil a sus dispositivos. Por favor, elija Todos los usuarios y/o Todos los dispositivos o un grupo dedicado para la asignación.

Tenga en cuenta que debe usar el mismo grupo para asignar el certificado de confianza y el perfil SCEP. De lo contrario, el despliegue de Intune podría fallar.

Certificados de dispositivo

Abra el portal de SCEPman y copie la URL bajo Intune MDM

Cree un perfil para Windows 10 y posteriores con el tipo Certificado SCEP en Microsoft Intune

Configure el perfil como se describe:

Tipo de certificado: Dispositivo

En este caso estamos configurando un certificado de dispositivo

Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}

Recomendado: Use {{DeviceName}}para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.

Opcional: Si se configura a CN={{DeviceId}} o CN={{AAD_Device_ID}}, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:

{{DeviceId}}: Este ID es generado y utilizado por Intune. (requiere SCEPman 2.0 o superior y AppConfig:IntuneValidation:DeviceDirectory que esté configurado a Intune o AADAndIntune)
{{AAD_Device_ID}}: Este ID es generado y utilizado por Microsoft Entra ID (Azure AD).

En caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilicen para el campo CN (p. ej. CN={{DeviceName}}), SCEPman identificará el dispositivo basado en el ID de dispositivo de Intune ((URI)Valor: IntuneDeviceId://{{DeviceId}}) provisto en el nombre alternativo del sujeto (SAN).

Importante: La elección del campo CN afecta el comportamiento de revocación automática de los certificados emitidos a sus dispositivos gestionados por Intune.

Puede agregar otros RDN si es necesario (p. ej.: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en la documentación de Microsoft.

Nombre alternativo del sujeto: (URI)Valor: IntuneDeviceId://{{DeviceId}}

El campo URI es recomendado por Microsoft para que las soluciones NAC identifiquen los dispositivos basándose en su ID de dispositivo de Intune. El valor debe ser:

IntuneDeviceId://{{DeviceId}}

El campo URI es obligatorio en caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se utilice en el Formato del nombre del sujeto campo.

Otros valores SAN como DNS pueden añadirse si es necesario.

Periodo de validez del certificado: 1 año

La cantidad de tiempo restante antes de que el certificado expire. El valor predeterminado está establecido en un año.

SCEPman limita la validez del certificado al máximo configurado en la configuración AppConfig:ValidityPeriodDays, pero por lo demás utiliza la validez configurada en la solicitud.

Proveedor de almacenamiento de claves (KSP): Inscribirse en KSP de Módulo de Plataforma Confiable (TPM), de lo contrario fallar

Esta configuración determina la ubicación de almacenamiento de la clave privada para los certificados de usuario final. El almacenamiento en el TPM es más seguro que el almacenamiento en software porque el TPM proporciona una capa adicional de seguridad para prevenir el robo de claves.

Nota: Hay un error en algunas versiones antiguas del firmware TPM que invalida algunas firmas creadas con una clave privada respaldada por TPM. En tales casos, el certificado no se puede usar para autenticación EAP como es común en conexiones Wi-Fi y VPN. Además, esto podría romper su proceso de incorporación Autopilot.

Las versiones de firmware TPM afectadas incluyen:

STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
Intel: 11.8.50.3399, 2.0.0.2060
Infineon: 7.63.3353.0
IFX: Versión 3.19 / Especificación 1.2
IFX versión 7.63.3353.0 especificación 2.0

Si usa TPM con este firmware, actualice su firmware a una versión más reciente o seleccione "Software KSP" como proveedor de almacenamiento de claves.

Actualización: Puede solucionar el error del TPM eliminando los algoritmos de firma RSA-PSS -que están causando el problema- del registro; para más información, por favor consulte el artículo de Richard Hicks y Microsoft Q&A

Uso de la clave: Firma digital y Cifrado de clave

Por favor active ambas acciones criptográficas.

SCEPman establece automáticamente el Uso de la clave a Firma digital y Cifrado de clave y anula la configuración aquí a menos que la configuración AppConfig:UseRequestedKeyUsages esté configurada a true.

Tamaño de clave (bits): 2048

SCEPman soporta 2048 bits.

Algoritmo hash: SHA-2

SCEPman soporta el algoritmo SHA-2.

Certificado raíz: Perfil del paso anterior (Perfil de certificado raíz)

Por favor seleccione el perfil de Intune de #Certificado raíz. Si está usando una CA intermedia, debe seleccionar el perfil de certificado de confianza para la CA intermedia, ¡no la CA raíz!

Uso de clave extendido: Autenticación de cliente, 1.3.6.1.5.5.7.3.2

Por favor elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) bajo Valores predefinidos. Los otros campos se completarán automáticamente.

Umbral de renovación (%): 20

Este valor define cuándo el dispositivo está autorizado a renovar su certificado (basado en la vida útil restante de un certificado existente). Por favor lea la nota bajo Periodo de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un período prolongado. Un valor del 20% permitiría que un dispositivo con un certificado válido por 1 año inicie la renovación 73 días antes del vencimiento.

URLs del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM

Ejemplo

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Ejemplo

Ahora puede desplegar este perfil a sus dispositivos. Por favor elija los mismos grupos para la asignación que para el perfil de certificado de confianza.

Certificados de usuario

Por favor siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:

Tipo de certificado: Usuario

En esta sección estamos configurando un certificado de usuario.

Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}

Puede definir RDNs basados en sus necesidades. Las variables compatibles se enumeran en la documentación de Microsoft. Recomendamos incluir el nombre de usuario (p. ej.: janedoe) y la dirección de correo electrónico (p. ej.: [email protected]) como configuración base.

Nombre alternativo del sujeto: (UPN)Valor: {{UserPrincipalName}}

Debe agregar el nombre principal del usuario como el Nombre alternativo del sujeto. Agregue '{{UserPrincipalName}}' como Nombre alternativo del sujeto de tipo Nombre principal de usuario (UPN). Esto asegura que SCEPman pueda vincular certificados a objetos de usuario en AAD. La configuración de 'Formato del nombre del sujeto' es libremente seleccionable.

Otros valores SAN como una dirección de correo electrónico pueden añadirse si es necesario.

Basado en comentarios de clientes, parece que algunos clientes VPN (por ejemplo, Azure VPN Client para Virtual WAN) no pueden descubrir el certificado de usuario cuando está almacenado en el TPM. Intente inscribirlo en el KSP de software en su lugar.

Ejemplo

Certificado de firma digital de usuario

Puede usar SCEPman para firmas digitales transaccionales, es decir, para el firmado S/MIME en Microsoft Outlook. Si planea usar los certificados para firmar mensajes necesita añadir los usos de clave extendidos correspondientes en la configuración del perfil de Intune.

No use SCEPman para el cifrado de correo electrónico es decir, para el cifrado de correo S/MIME en Microsoft Outlook (sin una tecnología separada para la gestión de claves). La naturaleza del protocolo SCEP no incluye un mecanismo para respaldar o archivar material de clave privada. Si usara SCEP para el cifrado de correo electrónico, podría perder las claves para descifrar los mensajes más adelante.

Debe establecer estas variables de configuración; de lo contrario, el uso de clave solicitado y el periodo de validez extendido en el perfil SCEP no serán respetados por SCEPman:

AppConfig:UseRequestedKeyUsages configurar a true
AppConfig:ValidityPeriodDays configurar a 365 (un valor máximo de 1825 - 5 años es posible)

Para desplegar certificados de usuario usados para Firmas digitales por favor siga las instrucciones de #Certificados de usuario y tenga en cuenta las siguientes diferencias y notas:

Nombre alternativo del sujeto

(requerido) Nombre principal de usuario (UPN): {{UserPrincipalName}}
(requerido) Dirección de correo electrónico: {{EmailAddress}}

Al desplegar un certificado de firma digital, debe añadir el UPN y la dirección de correo electrónico.

Uso de la clave: solo Firma digital

Uso de clave extendido: Correo seguro (1.3.6.1.5.5.7.3.4)

Por favor elija Correo seguro (1.3.6.1.5.5.7.3.4) bajo Valores predefinidos. Los otros campos se completarán automáticamente.

Umbral de renovación (%): 50

Recomendamos establecer el Umbral de renovación (%) a un valor que asegure que los certificados se renueven al menos 6 meses antes del vencimiento al emitir certificados de firma S/MIME. Esto se debe a que los correos firmados con certificados expirados se muestran con firmas inválidas en Outlook, lo que confunde a los usuarios. Tener un certificado nuevo mucho antes de que el antiguo caduque asegura que solo los correos más antiguos muestren este comportamiento, a los que los usuarios son menos propensos a prestar atención. Por ejemplo, si sus certificados de firma son válidos por un año, debe establecer el Umbral de renovación al menos en 50 %.

Ejemplo

Después de una sincronización de perfil exitosa, debería ver el certificado de usuario para los Propósitos previstos Correo seguro

El certificado estará disponible para uso de Firma digital en p. ej. Outlook. A continuación hay un ejemplo del uso

Activar firmas S/MIME en Microsoft Outlook

La función S/MIME no está disponible para el cliente de Outlook más reciente. Más información aquí.

Una vez que haya desplegado certificados de firma S/MIME a sus equipos cliente, debe configurar Outlook para usar estos certificados antes de enviar correos firmados. Puede hacerlo manualmente o usar nuestro Script de PowerShell para configurar Outlook.

Activar firmas S/MIME en Outlook en la Web

Puede firmar correos con S/MIME en Outlook en la Web usando certificados de su máquina Windows local. Necesita habilitar esto con el siguiente comando:

Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true

Consulte https://learn.microsoft.com/en-us/powershell/module/exchange/set-smimeconfig para más detalles.

Última actualización hace 12 meses

¿Te fue útil?

Buenas noches

hashtagCertificado raíz

hashtagCertificados de dispositivo

hashtagEjemplo

hashtagCertificados de usuario

hashtagEjemplo

hashtagCertificado de firma digital de usuario

hashtagEjemplo

hashtagActivar firmas S/MIME en Microsoft Outlook

hashtagActivar firmas S/MIME en Outlook en la Web

Certificado raíz

Certificados de dispositivo

Ejemplo

Certificados de usuario

Ejemplo

Certificado de firma digital de usuario

Ejemplo

Activar firmas S/MIME en Microsoft Outlook

Activar firmas S/MIME en Outlook en la Web