Cómo crear perfiles de certificado PFX en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2

Configuration Manager 2012 SP2 permite aprovisionar archivos de intercambio de información personal (.pfx) en los dispositivos del usuario. Los archivos PFX pueden usarse para generar certificados específicos del usuario para admitir el intercambio de datos cifrados. Los certificados PFX pueden crearse en Configuration Manager o importarse. Con Configuration Manager 2012 SP2, los certificados PFX nuevos o importados pueden implementarse en dispositivos iOS, Android y Windows 10. A continuación, estos archivos se pueden implementar en varios dispositivos para admitir la comunicación de PKI basada en usuario.

Sugerencia
Un tutorial paso a paso que describe este proceso también está disponible en Cómo crear e implementar perfiles de certificado PFX en Configuration Manager.

Crear e implementar perfiles de certificado de intercambio de información personal (PFX)

Cómo crear e implementar un perfil de certificado de intercambio de información personal (PFX)

1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

2. En el área de trabajo Activos y compatibilidad, expanda Configuración de cumplimiento, expanda Acceso a los recursos de la compañía y, a continuación, haga clic en Perfiles de certificado.

3. En la pestaña Inicio del grupo Crear, haga clic en Crear perfil de certificado. El asistente para Crear perfil de certificado se abre.

4. En la página General del asistente para Crear perfil de certificado, especifique la información siguiente:

   - **Nombre**: escriba un nombre único para el perfil de certificado. Puede utilizar un máximo de 256 caracteres.
   
   - **Descripción**: proporcione una descripción general del perfil de certificado e información adicional relevante que le permita identificarlo en la consola de Configuration Manager. Puede utilizar un máximo de 256 caracteres.
   
   - **Especifique el tipo de perfil de certificado que desea crear**: Elija uno de los tipos de perfil de certificado siguientes:
   
       - **Certificado de CA de confianza**: seleccione este tipo de perfil de certificado si desea implementar un certificado de entidad de certificación (CA) raíz de confianza o un certificado de CA intermedio para formar una cadena de confianza si el dispositivo o el usuario deben autenticar otro dispositivo. Por ejemplo, el dispositivo puede ser un servidor de Servicio de autenticación remota telefónica de usuario (RADIUS) o un servidor de red privada virtual (VPN). También debe configurar un perfil de certificado de CA de confianza antes de crear un perfil de certificado de SCEP. En este caso, el certificado de CA de confianza debe ser el certificado raíz de confianza de la CA que emitirá el certificado para el usuario o el dispositivo.
   
       - **Configuración de Protocolo de inscripción de certificados simple (SCEP)**: seleccione este tipo de perfil de certificado si desea solicitar un certificado para un dispositivo o usuario mediante el Protocolo de inscripción de certificados simple y el servicio de rol Servicio de inscripción de dispositivos de red.
   
       - **Intercambio de información personal – configuración de PKCS \#12 (PFX) – importar**: seleccione esta opción para importar un certificado PFX.
   

5. En la ventana Propiedades del certificado del asistente para Crear perfil de certificado, especifique dónde se almacenarán los certificados PFX en los dispositivos de destino.

   - **Instalar en Módulo de plataforma segura (TPM) si está presente**
   
   - **Instalar en Módulo de plataforma segura (TPM) o se producirá un error**
   
   - **Instalar en Proveedor de almacenamiento de claves de software**
   

   Haga clic en Siguiente.

6. En la ventana Plataformas compatibles del asistente para Crear perfil de certificado, especifique qué sistemas operativos o plataformas pueden recibir el archivo PFX importado.

   - **Windows 10**
   
   - **iPhone**
   
   - **iPad**
   
   - **Android**
   

7. Haga clic en Siguiente, revise la página Resumen y cierre el asistente.

8. El perfil de certificado que contiene el archivo PFX ya está disponible en el área de trabajo Perfiles de certificado. En el área de trabajo Activos y compatibilidad, vaya a Configuración de cumplimiento > Acceso a recursos de empresa > Perfiles de certificado y haga clic con el botón derecho para implementar el nuevo certificado en recopilaciones de usuarios.

9. Use el SDK para Windows 8.1 disponible en el centro de descarga (https://go.microsoft.com/fwlink/?LinkId=613525 para implementar un script de creación de PFX. El script de creación de PFX agregado en Configuration Manager 2012 SP2 agrega una clase SMS_ClientPfxCertificate al SDK. Esta clase incluye los métodos siguientes:

   - ImportForUser
   
   - DeleteForUser
   

   Script de ejemplo:

     $EncryptedPfxBlob = "<blob>" $Password = "abc" $ProfileName = "PFX_Profile_Name" $UserName = "ComputerName\Administrator" #New pfx $WMIConnection = ([WMIClass]"\\nksccm\root\SMS\Site_MDM:SMS_ClientPfxCertificate") $NewEntry = $WMIConnection.psbase.GetMethodParameters("ImportForUser") $NewEntry.EncryptedPfxBlob = $EncryptedPfxBlob $NewEntry.Password = $Password $NewEntry.ProfileName = $ProfileName $NewEntry.UserName = $UserName $Resource = $WMIConnection.psbase.InvokeMethod("ImportForUser",$NewEntry,$null)
   

   Debe modificar las variables de script siguientes para su script:

   - \<blob\> = blob cifrado en base 64 de PFX
   
   - $Password = contraseña del archivo PFX
   
   - $ProfileName = nombre del perfil PFX
   
   - ComputerName = nombre del equipo host
   

Vea también

Perfiles de certificado en Configuration Manager