• Artículo

Introducción a perfiles de certificado en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

La información de este tema se aplica a System Center 2012 R2 Configuration Manager y System Center 2012 R2 Configuration Manager SP1.

Los perfiles de certificado en System Center 2012 Configuration Manager funcionan con Servicios de certificados de Active Directory y el rol Servicio de inscripción de dispositivos de red para aprovisionar certificados de autenticación para dispositivos administrados a fin de que los usuarios puedan obtener acceso a los recursos de la compañía con facilidad. Por ejemplo, puede crear e implementar perfiles de certificado para proporcionar los certificados necesarios para que los usuarios inicien conexiones VPN e inalámbricas.

En Configuration Manager, los perfiles de certificado proporcionan las siguientes capacidades de administración:

  • Inscripción y renovación de certificados desde una entidad de certificación (CA) empresarial para dispositivos que ejecutan iOS, Windows 8.1, Windows RT 8.1 y Android. Estos certificados se pueden usar en conexiones Wi-Fi y VPN.

  • Implementación de certificados de entidad de certificación raíz de confianza y certificados de entidad de certificación intermedios para configurar una cadena de confianza en dispositivos para conexiones VPN y Wi-Fi, cuando se requiere autenticación de servidor.

  • Supervisar los certificados instalados y notificar acerca de ellos.

Los perfiles de certificado pueden configurar automáticamente dispositivos de usuario para tener acceso a los recursos de la compañía, como las redes Wi-Fi y los servidores VPN, sin tener que instalar manualmente los certificados o usar un proceso fuera de banda. Los perfiles de certificado también pueden ayudar a proteger los recursos de empresa porque permite usar una configuración más segura que es compatible con la infraestructura de clave pública (PKI) de su empresa. Por ejemplo, puede requerir la autenticación de servidor para todas las conexiones VPN y Wi-Fi porque ha aprovisionado los certificados necesarios en los dispositivos administrados.

Ejemplo: Todos los empleados deben poder conectarse a puntos de conexión Wi-Fi en diversas ubicaciones corporativas. Para conseguirlo, puede implementar los certificados necesarios para establecer la conexión Wi-Fi e implementar los perfiles de Wi-Fi en Configuration Manager que hacen referencia al certificado correspondiente para que los usuarios puedan usar conexiones Wi-Fi con facilidad.

Ejemplo: Dispone de una PKI local y quiere optar por un método más flexible y seguro de aprovisionamiento de certificados que permita a los usuarios obtener acceso a los recursos de empresa desde sus dispositivos personales sin poner en riesgo la seguridad. Para ello, puede configurar perfiles de certificado con las opciones y los protocolos que se admiten en la plataforma de dispositivo específica. Los dispositivos pueden solicitar automáticamente estos certificados desde un servidor de inscripción accesible desde Internet. Después, puede configurar los perfiles de VPN para que usen estos certificados y que el dispositivo pueda acceder a los recursos de empresa.

Tipos de perfiles de certificado

Puede crear dos tipos de perfiles de certificado en Configuration Manager:

  • Certificado de CA de confianza: permite implementar un certificado de CA raíz o un certificado de CA intermedio de confianza para formar una cadena de confianza si el dispositivo debe autenticar un servidor.

  • Configuración del Protocolo de inscripción de certificados simple (SCEP): permite solicitar un certificado para un dispositivo o usuario mediante el protocolo SCEP y el Servicio de inscripción de dispositivos de red en un servidor que ejecuta Windows Server 2012 R2.

    Nota

    Debe crear un perfil de certificado del tipo Certificado de CA de confianza antes de crear un perfil de certificado del tipo Configuración de Protocolo de inscripción de certificados simple (SCEP).

Requisitos y plataformas admitidas

Para implementar perfiles de certificado que usan el Protocolo de inscripción de certificados simple, es preciso instalar el punto de registro de certificado en un servidor del sistema de sitios en el sitio de administración central o en un sitio primario. También debe instalar un módulo de directivas para el Servicio de inscripción de dispositivos de red, el módulo de directivas de Configuration Manager, en un servidor que ejecuta Windows Server 2012 R2 con el rol Servicios de certificados de Active Directory y un Servicio de inscripción de dispositivos de red operativo y al que los dispositivos que precisan certificados puedan acceder. Para los dispositivos inscritos mediante Microsoft Intune, es necesario poder tener acceso al Servicio de inscripción de dispositivos de red desde Internet, por ejemplo, en una subred filtrada (también denominada red perimetral).

Para obtener más información sobre la compatibilidad del Servicio de inscripción de dispositivos de red y un módulo de directivas para que Configuration Manager pueda implementar certificados, consulte Using a Policy Module with the Network Device Enrollment Service (Utilitzación de un módulo de directivas con el Servicio de inscripción de dispositivos de red).

Configuration Manager admite la implementación de certificados en varios almacenes de certificados distintos en función de los requisitos, el tipo de dispositivo y el sistema operativo. Se admiten los dispositivos y los sistemas operativos siguientes:

System_CAPS_importantImportante

Para implementar perfiles en Android, iOS, Windows Phone y dispositivos Windows 8.1 inscritos, estos dispositivos deben inscribirse en Microsoft Intune. Para obtener información sobre cómo inscribir dispositivos, consulte Administrar dispositivos móviles con Microsoft Intune.

Un escenario habitual de System Center 2012 Configuration Manager es instalar certificados de CA raíz de confianza para autenticar servidores Wi-Fi y VPN si la conexión usa los protocolos de autenticación EAP-TLS, EAP-TTLS y PEAP, y los protocolos de túnel VPN Cisco IPsec, IKEv2 y L2TP/IPsec.

Debe asegurarse de que un certificado de CA raíz empresarial está instalado en el dispositivo para que este pueda solicitar certificados mediante el perfil de certificado de SCEP.

Puede especificar diversas opciones de configuración en un perfil de certificado de SCEP para solicitar los certificados personalizados para distintos entornos o requisitos de conectividad. El Asistente para crear perfil de certificado contiene dos páginas para parámetros de inscripción. La primera, Inscripción de SCEP, contiene la configuración de la solicitud de inscripción y la ubicación de instalación del certificado. La segunda, Propiedades de certificado, describe el certificado solicitado.

Implementación de perfiles de certificado

Al implementar un perfil de certificado, los archivos de certificado en el perfil se instalan en los dispositivos cliente. También se implementarán los parámetros de SCEP. Las solicitudes de SCEP se procesarán en el dispositivo cliente. Puede implementar perfiles de certificado para recopilaciones de usuarios o de dispositivos y especificar el almacén de destino de cada certificado. Las reglas de aplicabilidad determinan si los certificados pueden estar instalados en el dispositivo. Cuando se implementan perfiles de certificado en recopilaciones de usuarios, la afinidad de dispositivo de usuario determina cuál de los dispositivos de los usuarios instalará los certificados. Cuando los perfiles de certificado que contienen certificados de usuario se implementan en recopilaciones de dispositivos, los certificados se instalarán en todos los dispositivos primarios de los usuarios de manera predeterminada. Para modificar este comportamiento, instale el certificado en cualquiera de los dispositivos de los usuarios en la página Inscripción de SCEP del Asistente para crear perfil de certificado. Además, los certificados de usuario no se implementarán en los dispositivos si son equipos de grupo de trabajo.

Supervisión de perfiles de certificado

Puede supervisar las implementaciones de perfil de certificado mediante el nodo Implementaciones del área de trabajo Supervisión en la consola de Configuration Manager.

También puede utilizar uno de los siguientes informes de Configuration Manager para supervisar los perfiles de certificado:

  • Historial de certificados emitidos por el punto de registro de certificado

  • Lista de activos por estado de emisión de certificado para certificados inscritos por el punto de registro de certificado

  • Lista de activos con certificados a punto de expirar

Revocación automática de certificados

Configuration Manager revoca automáticamente certificados de usuario y de equipo que se implementaron mediante perfiles de certificado en las circunstancias siguientes:

  • El dispositivo se retira de la administración de Configuration Manager.

  • El dispositivo se borra de forma selectiva.

  • El dispositivo se bloquea de la jerarquía de Configuration Manager.

Para revocar los certificados, el servidor de sitio envía un comando de revocación a la entidad de certificación emisora. El motivo de la revocación es Cese de operación.

Novedades de System Center 2012 R2 Configuration Manager

Nota

La información de esta sección también aparece en la guía Introducción a System Center 2012 Configuration Manager.

Los perfiles de certificado son nuevos en System Center 2012 R2 Configuration Manager. Proporcionan las siguientes capacidades y tienen algunas configuraciones dependientes:

  • Implementación de certificados de usuario y de dispositivo para dispositivos administrados mediante el Protocolo de inscripción de certificados simple (SCEP). Estos certificados se pueden usar para admitir conexiones VPN y Wi-Fi.

  • Entre los dispositivos admitidos se incluyen aquellos que ejecutan iOS, Windows 8.1, Windows RT 8.1 y Android.

  • Implementación de certificados de entidad de certificación (CA) raíz y certificados de CA intermedios, para que los dispositivos puedan crear una cadena de confianza cuando usen la autenticación del servidor para conexiones de red.

  • Debe implementarse un punto de registro de certificado en el sitio de administración central o en un sitio primario, y el módulo de directivas de Configuration Manager debe estar instalado en un servidor que ejecuta Windows Server 2012 R2 con Servicios de certificados de Active Directory y el rol Servicio de inscripción de dispositivos de red. Este servidor debe ser accesible desde Internet y debe comunicarse con una CA empresarial para emitir certificados. Para obtener más información sobre los cambios en el Servicio de inscripción de dispositivos de red para admitir este escenario, consulte What's New in Certificate Services in Windows Server 2012 R2 (Novedades de servicios de certificado en Windows Server 2012 R2).

Novedades de System Center 2012 Configuration Manager SP2

Configuration Manager 2012 SP2 permite aprovisionar archivos de intercambio de información personal (.pfx) en los dispositivos del usuario. Los archivos PFX pueden usarse para generar certificados específicos del usuario para admitir el intercambio de datos cifrados. Los certificados PFX pueden crearse en Configuration Manager o importarse. Con Configuration Manager 2012 SP2, los certificados PFX nuevos o importados pueden implementarse en dispositivos iOS, dispositivos Android, dispositivos Windows 8.1 y posteriores, y dispositivos Windows Phone 8.1 y posteriores. A continuación, estos archivos se pueden implementar en varios dispositivos para admitir la comunicación de PKI basada en usuario. Para obtener más información, vea Cómo crear perfiles de certificado PFX en Configuration Manager.