Windows
Implemente certificados en dispositivos Windows mediante SCEP en Intune usando SCEPman.
El siguiente artículo describe la implementación de certificados de dispositivo y/o de usuario para dispositivos Windows. La implementación del certificado raíz de SCEPman es obligatoria. Después, puede elegir entre implementar solo certificados de dispositivo, de usuario o incluso ambos tipos de certificado.
Certificado raíz
La base para implementar certificados SCEP es confiar en el certificado raíz de SCEPman. Por lo tanto, debe descargar el certificado raíz de la CA e implementarlo como un certificado de confianza perfil a través de Microsoft Intune:
Tenga en cuenta que debe usar el mismo grupo para asignar el certificado de confianza y el perfil SCEP. De lo contrario, la implementación de Intune podría fallar.
Certificados de dispositivo
Formato del nombre del sujeto: CN={{DeviceName}} o CN={{DeviceId}} o CN={{AAD_Device_ID}}
Recomendado: Use {{DeviceName}}para el RDN CN para tener un nombre significativo del certificado en el dispositivo o al buscar el certificado.
Opcional: Si se configura en CN={{DeviceId}} o CN={{AAD_Device_ID}}, SCEPman usa el campo CN del nombre del sujeto para identificar el dispositivo y como semilla para la generación del número de serie del certificado. Microsoft Entra ID (Azure AD) e Intune ofrecen dos IDs diferentes:
{{DeviceId}}: Este ID es generado y usado por Intune. (requiere AppConfig:IntuneValidation:DeviceDirectory que se establezca en Intune o AADAndIntune){{AAD_Device_ID}}: Este ID es generado y usado por Microsoft Entra ID (Azure AD).
En caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se use para el campo CN (por ejemplo, CN={{DeviceName}}), SCEPman identificará el dispositivo en función del ID de dispositivo de Intune (Valor (URI): IntuneDeviceId://{{DeviceId}}) proporcionado en el nombre alternativo del sujeto (SAN).
Puede especificar estas variables y texto estático en el cuadro de texto. Por ejemplo, el nombre común de un dispositivo llamado Device1 puede agregarse como CN={{DeviceName}}YourDomain.com
Importante: La elección del campo CN afecta el comportamiento de revocación automática de los certificados emitidos para sus dispositivos administrados por Intune.
Puede agregar otros RDN si es necesario (por ejemplo: CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Las variables compatibles se enumeran en los documentos de Microsoft.
Nombre alternativo del sujeto: (URI)Valor: IntuneDeviceId://{{DeviceId}}
El campo URI es recomendado por Microsoft para soluciones NAC para identificar los dispositivos en función de su ID de dispositivo de Intune. El valor debe ser:
El campo URI es obligatorio en caso de que ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} se use en el campo Formato del nombre del sujeto .
Se pueden agregar otros valores SAN como DNS si es necesario.
Período de validez del certificado: 1 año
La cantidad de tiempo restante antes de que caduque el certificado. El valor predeterminado es de un año.
SCEPman limita la validez del certificado al máximo configurado en la opción AppConfig:ValidityPeriodDays, pero de lo contrario usa la validez configurada en la solicitud.
Proveedor de almacenamiento de claves (KSP): Inscribirse en el proveedor de Módulo de plataforma confiable (TPM) KSP; de lo contrario, fallar
Esta configuración determina la ubicación de almacenamiento de la clave privada para los certificados de usuario final. El almacenamiento en el TPM es más seguro que el almacenamiento por software porque el TPM proporciona una capa adicional de seguridad para evitar el robo de claves.
Nota: Hay un error en algunas versiones antiguas del firmware TPM que invalida algunas firmas creadas con una clave privada respaldada por TPM. En tales casos, el certificado no se puede usar para autenticación EAP, como es habitual en conexiones Wi-Fi y VPN. Además, esto podría romper su proceso de incorporación de Autopilot.
Las versiones de firmware TPM afectadas incluyen:
STMicroelectronics: 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
Intel: 11.8.50.3399, 2.0.0.2060
Infineon: 7.63.3353.0
IFX: Versión 3.19 / Especificación 1.2
IFX versión 7.63.3353.0 especificación 2.0
Si usa TPM con este firmware, actualice su firmware a una versión más reciente o seleccione "Software KSP" como proveedor de almacenamiento de claves.
Actualización: Puede evitar el error de TPM eliminando del registro los algoritmos de firma RSA-PSS, que están causando el problema; para obtener más información consulte el artículo de Richard Hicks y Microsoft Q&A
Uso de la clave: Firma digital y Cifrado de clave
Active ambas acciones criptográficas.
SCEPman establece automáticamente el uso de clave en Firma digital y Cifrado de clave y anula la configuración aquí, a menos que la opción AppConfig:UseRequestedKeyUsages esté configurada en true.
Certificado raíz: Perfil del paso anterior (perfil de certificado raíz)
Seleccione el perfil de Intune de #Certificado raíz. Si está usando una CA intermedia, debe seleccionar el perfil de certificado de confianza para la CA intermedia, no para la CA raíz.
Uso extendido de clave: Autenticación de cliente, 1.3.6.1.5.5.7.3.2
Elija Autenticación de cliente (1.3.6.1.5.5.7.3.2) en Valores predefinidos. Los demás campos se rellenarán automáticamente.
Umbral de renovación (%): 20
Este valor define cuándo se permite al dispositivo renovar su certificado (en función de la vida útil restante de un certificado existente). Lea la nota bajo Período de validez del certificado y seleccione un valor adecuado que permita al dispositivo renovar el certificado durante un largo período. Un valor del 20 % permitiría que el dispositivo con un certificado válido por 1 año iniciara la renovación 73 días antes del vencimiento.
URL del servidor SCEP: Abra el portal de SCEPman y copie la URL de Intune MDM
Ejemplo
Ejemplo
Certificados de usuario
Siga las instrucciones de #Certificados de dispositivo y tenga en cuenta las siguientes diferencias:
Formato del nombre del sujeto: CN={{UserName}},E={{EmailAddress}}
Puede definir RDN según sus necesidades. Las variables compatibles se enumeran en los documentos de Microsoft. Recomendamos incluir el nombre de usuario (por ejemplo: janedoe) y la dirección de correo electrónico (por ejemplo: [email protected]) como configuración base.
Nombre alternativo del sujeto: (UPN)Valor: {{UserPrincipalName}}
Debe agregar el nombre principal de usuario como nombre alternativo del sujeto. Agregue '{{UserPrincipalName}}' como nombre alternativo del sujeto de tipo Nombre principal de usuario (UPN). Esto garantiza que SCEPman pueda vincular los certificados a objetos de usuario en AAD. La configuración de 'Formato del nombre del sujeto' es libremente seleccionable.
Se pueden agregar otros valores SAN, como una dirección de correo electrónico, si es necesario.
Según los comentarios de los clientes, parece que algunos clientes VPN (por ejemplo, Azure VPN Client for Virtual WAN) no pueden descubrir el certificado de usuario cuando se almacena en el TPM. Intente inscribirlo en su lugar en el software KSP.
Ejemplo
Certificado de firma digital de usuario
Puede usar SCEPman para firmas digitales es decir, para la firma S/MIME en Microsoft Outlook. Si planea usar los certificados para la firma de mensajes, debe agregar los usos extendidos de clave correspondientes en la configuración del perfil de Intune.
No use SCEPman para el cifrado de correo electrónico es decir, para el cifrado de correo S/MIME en Microsoft Outlook (sin una tecnología separada para la administración de claves). La naturaleza de el protocolo SCEP no incluye un mecanismo para respaldar o archivar material de clave privada. Si usara SCEP para el cifrado de correo electrónico, podría perder las claves para descifrar los mensajes más adelante.
AppConfig:UseRequestedKeyUsagesestablecer entrueAppConfig:ValidityPeriodDaysestablecer en365(es posible un valor máximo de 1825: 5 años)
Para implementar certificados de usuario usados para Firmas digitales siga las instrucciones de #Certificados de usuario y tenga en cuenta las siguientes diferencias y notas:
Nombre alternativo del sujeto
(obligatorio) Nombre principal de usuario (UPN):
{{UserPrincipalName}}(obligatorio) Dirección de correo electrónico:
{{EmailAddress}}
Al implementar un certificado de firma digital, debe agregar el UPN y la dirección de correo electrónico.
Uso extendido de clave: Correo seguro (1.3.6.1.5.5.7.3.4)
Elija Correo seguro (1.3.6.1.5.5.7.3.4) en Valores predefinidos. Los demás campos se rellenarán automáticamente.
Umbral de renovación (%): 50
Recomendamos configurar el Umbral de renovación (%) en un valor que garantice que los certificados se renueven al menos 6 meses antes de su vencimiento al emitir certificados de firma S/MIME. Esto se debe a que los correos electrónicos firmados con certificados caducados muestran firmas no válidas en Outlook, lo que confunde a los usuarios. Tener un nuevo certificado mucho antes de que expire el anterior garantiza que solo los correos más antiguos muestren este comportamiento, que es menos probable que los usuarios consulten. Por ejemplo, si sus certificados de firma son válidos durante un año, debe establecer el Umbral de renovación en al menos 50 %.
Ejemplo
Después de una sincronización exitosa del perfil, debería ver el certificado de usuario para Propósitos previstos Correo seguro
El certificado estará disponible para uso de Firma digital, por ejemplo en Outlook. A continuación se muestra un ejemplo del uso
Activar firmas S/MIME en Outlook
Una vez que haya implementado certificados de firma S/MIME en sus equipos cliente, debe configurar Outlook para usar estos certificados antes de enviar correos electrónicos firmados.
Nuevo Outlook
S/MIME para el nuevo Outlook se puede configurar manualmente.
Outlook clásico
S/MIME para Outlook clásico se puede configurar manualmente o configurarse rápidamente con nuestro script de PowerShell.
Outlook en la Web
S/MIME para Outlook en la Web se puede configurar manualmente o habilitar mediante PowerShell con el siguiente comando:
Se pueden ver comandos adicionales de PowerShell aquí.
Última actualización
¿Te fue útil?