Configuración de certificados para comunicaciones de confianza con MDM local

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Configuration Manager administración local de dispositivos móviles (MDM) requiere que configure los roles de sistema de sitio para las comunicaciones de confianza con dispositivos administrados. Necesita dos tipos de certificados:

  • Un certificado de servidor web en IIS en los servidores que hospedan los roles de sistema de sitio necesarios. Si un servidor hospeda varios roles de sistema de sitio, solo necesita un certificado para ese servidor. Si cada rol está en un servidor independiente, cada servidor necesita un certificado independiente.

  • Certificado raíz de confianza de la entidad de certificación (CA) que emite los certificados de servidor web. Instale este certificado raíz en todos los dispositivos que necesiten conectarse a los roles de sistema de sitio.

En el caso de los dispositivos unidos a un dominio, si usa Servicios de certificados de Active Directory, puede instalar automáticamente estos certificados en todos los dispositivos. En el caso de los dispositivos no unidos a un dominio, instale el certificado raíz de confianza por otros medios.

En el caso de los dispositivos inscritos de forma masiva, puede incluir el certificado en el paquete de inscripción. En el caso de los dispositivos inscritos por el usuario, debe agregar el certificado por correo electrónico, descarga web u otro método.

Si usa un proveedor de certificados público y de confianza global para emitir los certificados de servidor, puede evitar tener que instalar manualmente el certificado raíz de confianza en cada dispositivo. La mayoría de los dispositivos confían de forma nativa en estas autoridades públicas. Este método es una alternativa útil para los dispositivos inscritos por el usuario, en lugar de instalar el certificado a través de otros medios.

Importante

Hay muchas maneras de configurar los certificados para las comunicaciones de confianza entre los dispositivos y los servidores del sistema de sitio para MDM local. La información de este artículo es un ejemplo de una manera de hacerlo. Este método requiere Servicios de certificados de Active Directory, con una entidad de certificación y el rol de inscripción web de la entidad de certificación. Para obtener más información, consulte Servicios de certificados de Active Directory.

Publicación de la CRL

De forma predeterminada, la entidad de certificación (CA) de Active Directory usa listas de revocación de certificados (CRL) basadas en LDAP. Permite conexiones a la CRL para dispositivos unidos a un dominio. Para permitir que los dispositivos no unidos a un dominio confíen en los certificados emitidos desde la CA, agregue una CRL basada en HTTP.

  1. En el servidor que ejecuta la entidad de certificación del sitio, vaya al menú Inicio , seleccione Herramientas administrativas y elija Entidad de certificación.

  2. En la consola de la entidad de certificación, haga clic con el botón derecho en CertificateAuthority y, a continuación, seleccione Propiedades.

  3. En propiedades CertificateAuthority, cambie a la pestaña Extensiones. Asegúrese de que la opción Seleccionar extensión esté establecida en Punto de distribución CRL (CDP).

  4. Seleccione http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl. A continuación, seleccione las siguientes opciones:

    • Incluir en CRL. Los clientes lo usan para buscar ubicaciones de DELTA CRL.

    • Incluir en la extensión CDP de los certificados emitidos.

    • Incluir en la extensión IDP de las CRL emitidas

  5. Cambie a la pestaña Salir del módulo . Seleccione Propiedades y, a continuación, seleccione Permitir que los certificados se publiquen en el sistema de archivos. Verá un aviso para reiniciar Servicios de certificados de Active Directory.

  6. Haga clic con el botón derecho en Certificados revocados, seleccione Todas las tareas y, a continuación, elija Publicar.

  7. En la ventana Publicar CRL, seleccione Solo CRL delta y, a continuación, seleccione Aceptar para cerrar la ventana.

Creación de la plantilla de certificado

La CA usa la plantilla de certificado de servidor web para emitir certificados para los servidores que hospedan los roles de sistema de sitio. Estos servidores serán puntos de conexión SSL para las comunicaciones de confianza entre los roles de sistema de sitio y los dispositivos inscritos.

  1. Cree un grupo de seguridad de dominio denominado Servidores MDM de ConfigMgr. Agregue al grupo las cuentas de equipo de los servidores de sistema de sitio.

  2. En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado y elija Administrar. Esta acción carga la consola plantillas de certificado.

  3. En el panel de resultados, haga clic con el botón derecho en la entrada que muestra Servidor web en la columna Nombre para mostrar de plantilla y, a continuación, seleccione Duplicar plantilla.

  4. En la ventana Plantilla duplicada, seleccione Windows 2003 Server, Enterprise Edition o Windows 2008 Server, Enterprise Edition y, a continuación, seleccione Aceptar.

    Sugerencia

    Configuration Manager admite plantillas de certificado de Windows 2008 Server, también conocidas como certificados V3 o Cryptography: Next Generation (CNG). Para obtener más información, consulte Introducción a los certificados CNG v3.

    Si la ca se ejecuta en Windows Server 2012 o versiones posteriores, esta ventana no muestra la opción para la versión de la plantilla de certificado. Después de duplicar la plantilla, seleccione la versión en la pestaña Compatibilidad de las propiedades de la plantilla.

  5. En la ventana Propiedades de nueva plantilla , en la pestaña General , escriba un nombre de plantilla. La entidad de certificación usa este nombre para generar los certificados web que se usarán en Configuration Manager sistemas de sitio. Por ejemplo, escriba Servidor web MDM de ConfigMgr.

  6. Cambie a la pestaña Nombre del firmante y seleccione Compilar desde la información de Active Directory. Para el formato de nombre del firmante, especifique el nombre DNS. Si está seleccionada la opción Nombre principal de usuario (UPN), deshabilite la opción para el nombre de firmante alternativo.

  7. Cambie a la pestaña Seguridad .

    1. Quite el permiso Inscribir de los grupos de seguridad Administradores de dominio y Administradores de empresa .

    2. Seleccione Agregar y escriba el nombre del grupo de seguridad. Por ejemplo, servidores MDM de ConfigMgr. Seleccione Aceptar para cerrar la ventana.

    3. Seleccione el permiso Inscribir para este grupo. No quite el permiso De lectura .

  8. Seleccione Aceptar para guardar los cambios y cierre la consola Plantillas de certificado.

  9. En la consola de la entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevo y, a continuación, elija Plantilla de certificado para emitir.

  10. En la ventana Habilitar plantillas de certificado , seleccione la nueva plantilla. Por ejemplo, servidor web MDM de ConfigMgr. A continuación, seleccione Aceptar para guardar y cerrar la ventana.

Solicitud del certificado

En este proceso se describe cómo solicitar el certificado de servidor web para IIS. Realice este proceso para cada servidor de sistema de sitio que hospede uno de los roles de MDM local.

  1. En el servidor de sistema de sitio que hospeda uno de los roles, abra un símbolo del sistema como administrador. Escriba mmc para abrir una consola de administración de Microsoft vacía.

  2. En la ventana de la consola, vaya al menú Archivo y seleccione Agregar o quitar complemento.

    1. Elija Certificados en la lista de complementos disponibles y seleccione Agregar.

    2. En la ventana del complemento Certificados, elija Cuenta de equipo. Seleccione Siguiente y, a continuación, seleccione Finalizar para administrar el equipo local.

    3. Seleccione Aceptar para salir de la ventana Agregar o quitar complemento.

  3. Expanda Certificados (equipo local) y seleccione el Almacén personal . Vaya al menú Acción , seleccione Todas las tareas y elija Solicitar nuevo certificado. Esta acción se comunica con Servicios de certificados de Active Directory para crear un nuevo certificado mediante la plantilla que creó anteriormente.

    1. En el Asistente para inscripción de certificados, en la página Antes de comenzar, seleccione Siguiente.

    2. En la página Seleccionar directiva de inscripción de certificados, seleccione Directiva de inscripción de Active Directory y, a continuación, seleccione Siguiente.

    3. Seleccione la plantilla de certificado de servidor web (servidor web MDM de Configuration Manager) y, a continuación, seleccione Inscribir.

    4. Después de solicitar el certificado, seleccione Finalizar.

Cada servidor necesita un certificado de servidor web único. Repita este proceso para cada servidor que hospede uno de los roles de sistema de sitio necesarios. Si un servidor hospeda todos los roles de sistema de sitio, solo tiene que solicitar un certificado de servidor web.

Enlace del certificado

El siguiente paso es enlazar el nuevo certificado al servidor web. Siga este proceso para cada servidor que hospeda los roles de sistema de sitio de punto de inscripción y punto de proxy de inscripción. Si un servidor hospeda todos los roles de sistema de sitio, solo tendrá que realizar este proceso una vez.

Nota:

No es necesario realizar este proceso para los roles de sistema de sitio de punto de distribución y punto de administración de dispositivos. Reciben automáticamente el certificado necesario durante la inscripción.

  1. En el servidor que hospeda el punto de inscripción o el punto de proxy de inscripción, vaya al menú Inicio , seleccione Herramientas administrativas y elija Administrador de IIS.

  2. En la lista conexiones, seleccione el sitio web predeterminado y, a continuación, seleccione Editar enlaces.

    1. En la ventana Enlaces de sitio, seleccione https y, a continuación, seleccione Editar.

    2. En la ventana Editar enlace de sitio, seleccione el certificado recién inscrito para el certificado SSL. Seleccione Aceptar para guardar y, a continuación, seleccione Cerrar.

  3. En la consola del Administrador de IIS, en la lista conexiones, seleccione el servidor web. En el panel Acción del lado derecho, seleccione Reiniciar. Esta acción reinicia el servicio de servidor web.

Exportación del certificado raíz de confianza

Servicios de certificados de Active Directory instala automáticamente el certificado necesario de la entidad de certificación en todos los dispositivos unidos a un dominio. Para obtener el certificado necesario para que los dispositivos no unidos a un dominio se comuniquen con los roles de sistema de sitio, exporte el certificado enlazado al servidor web.

  1. En el Administrador de IIS, seleccione el sitio web predeterminado. En el panel Acción del lado derecho, seleccione Enlaces.

  2. En la ventana Enlaces de sitio, seleccione https y, a continuación, seleccione Editar.

  3. Seleccione el certificado del servidor web y seleccione Ver.

  4. En las propiedades del certificado de servidor web, cambie a la pestaña Ruta de certificación . Seleccione la raíz de la ruta de certificación y seleccione Ver certificado.

  5. En las propiedades del certificado raíz, cambie a la pestaña Detalles y seleccione Copiar en archivo.

  6. En el Asistente para exportación de certificados, en la página principal, seleccione Siguiente.

  7. Seleccione ELR binario codificado X.509 (. CER) como formato y seleccione Siguiente.

  8. Escriba una ruta de acceso y un nombre de archivo para identificar este certificado raíz de confianza. Para el nombre de archivo, haga clic en Examinar..., elija una ubicación para guardar el archivo de certificado, asigne un nombre al archivo y seleccione Siguiente.

  9. Revise la configuración y seleccione Finalizar para exportar el certificado al archivo.

En función del diseño de la entidad de certificación, es posible que tenga que exportar certificados raíz de CA subordinados adicionales. Repita este proceso para exportar los demás certificados en la ruta de certificación del certificado del servidor web.

Paso siguiente

Configuración de la inscripción de dispositivos