Otras soluciones MDM
Puede usar SCEPman para emitir certificados a través de sistemas MDM distintos de Intune. Debe configurar una contraseña de desafío estática (ver RFC 8894, Sección 7.3 para la especificación formal) tanto en SCEPman como en el sistema MDM. Prácticamente todos los sistemas MDM admiten este modo de autenticación SCEP.
Tenga en cuenta, sin embargo, que esto no proporciona el mismo nivel de seguridad que el modo de autenticación empleado con Intune. La contraseña de desafío autentica las solicitudes del sistema MDM, por lo que SCEPman sabe que provienen de una fuente de confianza. Pero si los atacantes roban la contraseña de desafío, pueden autenticar cualquier solicitud de certificado y hacer que SCEPman les emita el certificado que deseen.
Por lo tanto, es crucial mantener la contraseña de desafío segura. Esto se puede lograr cuando el sistema MDM actúa como cliente SCEP y entrega el paquete final que comprende el certificado y la clave privada a los dispositivos de los usuarios finales. De este modo, la contraseña de desafío solo está disponible para SCEPman y el sistema MDM, pero no en los dispositivos de los usuarios finales.
Configuración de SCEPman
Hay dos puntos finales SCEP para elegir al configurar SCEPman para sistemas MDM distintos de Intune y Jamf Pro:
Static-AAD
Static
Se recomienda el punto final Static-AAD para sistemas MDM con integración de Entra ID, como Kandji y Google Workspace. Usuario los certificados distribuidos desde el punto final Static-AAD se beneficiarán de Revocación Automática cuando el usuario respectivo haya sido deshabilitado en Entra ID.
Se recomienda el punto final Static para todos los demás sistemas MDM.
Agregue los siguientes ajustes a su Servicio de Aplicaciones SCEPman > Variables de entorno > Agregar.
Una vez que se hayan agregado los ajustes, guarde la configuración y reinicie su Servicio de Aplicaciones SCEPman.
Habilitar la validación Static-AAD
true para habilitar, false para deshabilitar
Las solicitudes de firma de certificados enviadas a SCEPman para firmar se autentican con esta contraseña estática segura Recomendación: Almacene este secreto en Azure KeyVault.
genere una contraseña de 32 caracteres
Días que los certificados emitidos a través del punto final Static-AAD son válidos
365
Almacenar los certificados solicitados en la Cuenta de Almacenamiento, para mostrarlos en SCEPman Certificate Master
true para habilitar, false para deshabilitar
Agregue los siguientes ajustes a su Servicio de Aplicaciones SCEPman > Variables de entorno > Agregar.
Una vez que se hayan agregado los ajustes, guarde la configuración y reinicie su Servicio de Aplicaciones SCEPman.
Habilitar la validación de terceros
true para habilitar, false para deshabilitar
Las solicitudes de firma de certificados enviadas a SCEPman para firmar se autentican con esta contraseña estática segura Recomendación: Almacene este secreto en Azure KeyVault.
genere una contraseña de 32 caracteres
Días que los certificados emitidos a través del punto final Static son válidos
365
Almacenar los certificados solicitados en la Cuenta de Almacenamiento, para mostrarlos en SCEPman Certificate Master
true para habilitar, false para deshabilitar
Configuración del MDM
Los pasos específicos dependen del sistema MDM que esté utilizando. Debe agregar https://scepman.contoso.de/static como URL SCEP en algún lugar y debe agregar la contraseña de desafío a la configuración SCEP de su sistema MDM. Por razones de seguridad, haga que su sistema MDM actúe como un proxy SCEP.
Tenga en cuenta que hay dos variantes de implementaciones de proxy SCEP, solo una de las cuales es segura en esta configuración:
Su sistema MDM puede actuar como cliente SCEP, generar el par de claves secreto y entregar el paquete completo consistente en certificado y clave privada a los dispositivos de los usuarios finales. Esto es seguro, ya que la contraseña de desafío se utiliza solo entre el sistema MDM y SCEPman.
Su sistema MDM retransmite mensajes SCEP entre el dispositivo del usuario final y SCEPman. El dispositivo del usuario final genera el par de claves secreto y agrega la contraseña de desafío a la solicitud de certificado. Esto es menos seguro, ya que un atacante con control sobre un solo dispositivo de usuario final puede robar la contraseña de desafío y solicitar todo tipo de certificados a SCEPman. Además, el sistema MDM no puede controlar si el cliente ha solicitado correctamente un certificado o si la solicitud de certificado es incorrecta, lo que podría permitir el robo de identidad u otras amenazas.
Última actualización
¿Te fue útil?