Introducción a los perfiles de certificado en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Importante
A partir de la versión 2203, esta característica de acceso a recursos de empresa ya no se admite. Para obtener más información, consulte Preguntas más frecuentes sobre el desuso del acceso a recursos.
Los perfiles de certificado funcionan con Servicios de certificados de Active Directory y el rol Servicio de inscripción de dispositivos de red (NDES). Cree e implemente certificados de autenticación para dispositivos administrados para que los usuarios puedan acceder fácilmente a los recursos de la organización. Por ejemplo, puede crear e implementar perfiles de certificado para proporcionar los certificados necesarios para que los usuarios se conecten a vpn y conexiones inalámbricas.
Los perfiles de certificado pueden configurar automáticamente dispositivos de usuario para acceder a recursos de la organización, como redes Wi-Fi y servidores VPN. Los usuarios pueden acceder a estos recursos sin instalar manualmente certificados o mediante un proceso fuera de banda. Los perfiles de certificado ayudan a proteger los recursos, ya que puede usar configuraciones más seguras compatibles con la infraestructura de clave pública (PKI). Por ejemplo, necesita autenticación de servidor para todas las conexiones vpn y de Wi-Fi porque ha implementado los certificados necesarios en los dispositivos administrados.
Los perfiles de certificado proporcionan las siguientes funcionalidades de administración:
Inscripción y renovación de certificados desde una entidad de certificación (CA) para dispositivos que ejecutan diferentes tipos y versiones del sistema operativo. A continuación, estos certificados se pueden usar para conexiones Wi-Fi y VPN.
Implementación de certificados de entidad de certificación raíz de confianza y certificados de CA intermedios. Estos certificados configuran una cadena de confianza en los dispositivos para las conexiones VPN y Wi-Fi cuando se requiere la autenticación del servidor.
Supervise e informe sobre los certificados instalados.
Ejemplo 1: Todos los empleados deben conectarse a Wi-Fi zonas activas en varias ubicaciones de oficina. Para habilitar una conexión de usuario sencilla, implemente primero los certificados necesarios para conectarse a Wi-Fi. A continuación, implemente Wi-Fi perfiles que hagan referencia al certificado.
Ejemplo 2: Tiene una PKI en su lugar. Quiere pasar a un método más flexible y seguro de implementación de certificados. Los usuarios deben acceder a los recursos de la organización desde sus dispositivos personales sin poner en peligro la seguridad. Configure perfiles de certificado con valores y protocolos compatibles con la plataforma de dispositivo específica. A continuación, los dispositivos pueden solicitar automáticamente estos certificados desde un servidor de inscripción accesible desde Internet. A continuación, configure los perfiles de VPN para usar estos certificados para que el dispositivo pueda acceder a los recursos de la organización.
Tipos
Hay tres tipos de perfiles de certificado:
Certificado de entidad de certificación de confianza: implemente una entidad de certificación raíz de confianza o un certificado de ENTIDAD de certificación intermedio. Estos certificados forman una cadena de confianza cuando el dispositivo debe autenticar un servidor.
Protocolo de inscripción de certificados simple (SCEP): solicite un certificado para un dispositivo o usuario mediante el protocolo SCEP. Este tipo requiere el rol Servicio de inscripción de dispositivos de red (NDES) en un servidor que ejecute Windows Server 2012 R2 o posterior.
Para crear un perfil de certificado del Protocolo simple de inscripción de certificados (SCEP ), cree primero un perfil de certificado de entidad de certificación de confianza .
Intercambio de información personal (.pfx): solicite un certificado .pfx (también conocido como PKCS #12) para un dispositivo o usuario. Hay dos métodos para crear perfiles de certificado PFX:
- Importación de credenciales de certificados existentes
- Definición de una entidad de certificación para procesar solicitudes
Nota:
Configuration Manager no habilita esta característica opcional de forma predeterminada. Debe habilitar esta característica antes de usarla. Para obtener más información, consulte Habilitación de características opcionales a partir de actualizaciones.
Puede usar Microsoft o Entrust como entidades de certificación para certificados de intercambio de información personal (.pfx).
Requisitos
Para implementar perfiles de certificado que usan SCEP, instale el punto de registro de certificados en un servidor de sistema de sitio. Instale también un módulo de directivas para NDES, el módulo de directivas de Configuration Manager, en un servidor que se ejecute Windows Server 2012 R2 o posterior. Este servidor requiere el rol Servicios de certificados de Active Directory. También requiere un NDES que funcione y que sea accesible para los dispositivos que requieren los certificados. Si los dispositivos necesitan inscribirse para obtener certificados desde Internet, el servidor NDES debe ser accesible desde Internet. Por ejemplo, para habilitar de forma segura el tráfico al servidor NDES desde Internet, puede usar Aplicación de Azure Proxy.
Los certificados PFX también requieren un punto de registro de certificados. Especifique también la entidad de certificación (CA) para el certificado y las credenciales de acceso pertinentes. Puede especificar Microsoft o Entrust como entidades de certificación.
Para obtener más información sobre cómo NDES admite un módulo de directiva para que Configuration Manager pueda implementar certificados, consulte Uso de un módulo de directivas con el servicio de inscripción de dispositivos de red.
En función de los requisitos, Configuration Manager admite la implementación de certificados en diferentes almacenes de certificados en varios tipos de dispositivos y sistemas operativos. Se admiten los siguientes dispositivos y sistemas operativos:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Nota:
Use Configuration Manager MDM local para administrar Windows Phone 8.1 y Windows 10 Mobile. Para obtener más información, consulte MDM local.
Un escenario típico para Configuration Manager es instalar certificados de entidad de certificación raíz de confianza para autenticar Wi-Fi y servidores VPN. Las conexiones típicas usan los siguientes protocolos:
- Protocolos de autenticación: EAP-TLS, EAP-TTLS y PEAP
- Protocolos de tunelización de VPN: IKEv2, L2TP/IPsec y Cisco IPsec
Se debe instalar un certificado de CA raíz de empresa en el dispositivo para que el dispositivo pueda solicitar certificados mediante un perfil de certificado SCEP.
Puede especificar la configuración en un perfil de certificado SCEP para solicitar certificados personalizados para diferentes entornos o requisitos de conectividad. El Asistente para crear perfil de certificado tiene dos páginas para los parámetros de inscripción. La primera, Inscripción de SCEP, incluye la configuración de la solicitud de inscripción y dónde instalar el certificado. El segundo, Propiedades del certificado, describe el propio certificado solicitado.
Implementar
Al implementar un perfil de certificado SCEP, el cliente Configuration Manager procesa la directiva. A continuación, solicita una contraseña de desafío de SCEP desde el punto de administración. El dispositivo crea un par de claves pública y privada y genera una solicitud de firma de certificado (CSR). Envía esta solicitud al servidor NDES. El servidor NDES reenvía la solicitud al sistema de sitio del punto de registro de certificados a través del módulo de directiva NDES. El punto de registro de certificado valida la solicitud, comprueba la contraseña de desafío de SCEP y comprueba que la solicitud no se ha alterado. A continuación, aprueba o deniega la solicitud. Si se aprueba, el servidor NDES envía la solicitud de firma a la entidad de certificación (CA) conectada para la firma. La entidad de certificación firma la solicitud y, a continuación, devuelve el certificado al dispositivo solicitante.
Implemente perfiles de certificado en colecciones de usuarios o dispositivos. Puede especificar el almacén de destino para cada certificado. Las reglas de aplicabilidad determinan si el dispositivo puede instalar el certificado.
Al implementar un perfil de certificado en una colección de usuarios, la afinidad de dispositivo de usuario determina cuál de los dispositivos de los usuarios instala los certificados. Al implementar un perfil de certificado con un certificado de usuario en una colección de dispositivos, de forma predeterminada, cada uno de los dispositivos principales de los usuarios instala los certificados. Para instalar el certificado en cualquiera de los dispositivos de los usuarios, cambie este comportamiento en la página Inscripción de SCEP del Asistente para crear perfil de certificado. Si los dispositivos están en un grupo de trabajo, Configuration Manager no implementa certificados de usuario.
Monitorear
Puede supervisar las implementaciones de perfil de certificado mediante la visualización de los resultados o informes de cumplimiento. Para más información, consulte Supervisión de perfiles de certificado.
Revocación automática
Configuration Manager revoca automáticamente los certificados de usuario y equipo que se implementaron mediante perfiles de certificado en las siguientes circunstancias:
El dispositivo se retira de la administración de Configuration Manager.
El dispositivo está bloqueado de la jerarquía de Configuration Manager.
Para revocar los certificados, el servidor de sitio envía un comando de revocación a la entidad de certificación emisora. El motivo de la revocación es el cese de la operación.
Nota:
Para revocar correctamente un certificado, la cuenta de equipo del sitio de nivel superior de la jerarquía necesita el permiso para emitir y administrar certificados en la CA.
Para mejorar la seguridad, también puede restringir los administradores de CA en la entidad de certificación. A continuación, asigne solo permisos a esta cuenta en la plantilla de certificado específica que use para los perfiles SCEP del sitio.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de