Renovación de certificados
El certificado de cliente inscrito expira después de un período de uso. El servidor especifica la fecha de expiración del certificado. Para garantizar el acceso continuo a las aplicaciones empresariales, Windows admite un proceso de renovación de certificados desencadenado por el usuario. Se pide al usuario que proporcione la contraseña actual para la cuenta corporativa. El cliente de inscripción obtiene un nuevo certificado de cliente del servidor de inscripción y elimina el certificado anterior. El cliente genera un nuevo par de claves privadas y públicas, genera una solicitud PKCS#7 y firma la solicitud PKCS#7 con el certificado existente. En Windows, también se admite la renovación automática de certificados de cliente MDM.
Nota
Asegúrese de que el entDMID del proveedor de servicios de configuración DMClient está establecido antes de que se desencadene la solicitud de renovación de certificados.
Solicitud automática de renovación de certificados
Windows admite la renovación automática de certificados, también conocida como Renovar en nombre de (ROBO), que no requiere ninguna interacción del usuario. Para la renovación automática, el cliente de inscripción usa el certificado de cliente MDM existente para realizar la seguridad de la capa de transporte (TLS) del cliente. El token de seguridad de usuario no es necesario en el encabezado SOAP. Como resultado, el servidor de inscripción de certificados MDM es necesario para admitir TLS de cliente para la autenticación de cliente basada en certificados para la renovación automática de certificados.
Nota
La renovación de certificados del certificado de inscripción a través de ROBO solo se admite con Microsoft PKI.
La renovación automática de certificados es el único método de renovación de certificados de cliente MDM compatible para un dispositivo inscrito mediante la autenticación WAB. Es decir, AuthPolicy se establece en Federado. También significa que si el servidor admite la autenticación WAB, el servidor de inscripción de certificados MDM también debe admitir TLS del cliente para renovar el certificado de cliente MDM.
En el caso de los dispositivos Windows, durante la fase de inscripción de certificados de cliente MDM o durante la sección de administración de MDM, el servidor de inscripción o el servidor MDM podrían configurar el dispositivo para admitir la renovación automática de certificados de cliente MDM mediante el nodo ROBOSupport del CSP de CertificateStore en CertificateStore/My/WSTEP/Renew URL.
Con la renovación automática, el contenido del mensaje PKCS#7 no se codifica por separado en base64. Con la renovación manual de certificados, se requiere la codificación base64 para el contenido del mensaje PKCS#7.
Durante el proceso de renovación automática de certificados, si el dispositivo no confía en el certificado raíz, se produce un error en la autenticación. Use uno de los certificados raíz preinstalados del dispositivo o configure el certificado raíz a través de una sesión dm mediante el CSP de CertificateStore.
Durante el proceso de renovación automática de certificados, el dispositivo deniega la solicitud de redireccionamiento HTTP desde el servidor. No deniega la solicitud si se usa la misma dirección URL de redireccionamiento que el usuario aceptó durante el proceso de inscripción de MDM inicial.
En el ejemplo siguiente se muestran los detalles de una solicitud de renovación automática.
<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope"
xmlns:a="http://www.w3.org/2005/08/addressing" xmlns:u=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<s:Header>
<a:Action s:mustUnderstand="1">
http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep</a:Action>
<a:MessageID>urn:uuid:61a17f2c-42e9-4a45-9c85-f15c1c8baee8</a:MessageID>
<a:ReplyTo>
<a:Address>http://www.w3.org/2005/08/addressing/anonymous</a:Address>
</a:ReplyTo>
<a:To s:mustUnderstand="1">
https://dm.contoso.com/EnrollmentService/DeviceEnrollmentService.svc</a:To>
<o:Security s:mustUnderstand="1" xmlns:o=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<u:Timestamp u:Id="_0">
<u:Created>2011-07-11T19:49:08.579Z</u:Created>
<u:Expires>2011-07-11T19:54:08.579Z</u:Expires>
</u:Timestamp>
<o:UsernameToken u:Id="uuid-2a734df6-b227-4e60-82a8-ed53c574b718-5">
<o:Username>user@contoso.com</o:Username>
<o:Password o:Type=
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">
</o:Password>
</o:UsernameToken>
</o:Security>
</s:Header>
<s:Body>
<RequestSecurityToken xmlns="http://docs.oasis-open.org/ws-sx/ws-trust/200512">
<TokenType>
http://schemas.microsoft.com/5.0.0.0/ConfigurationManager/Enrollment/DeviceEnrollmentToken
</TokenType>
<RequestType>http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew</RequestType>
<BinarySecurityToken
ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#PKCS7"
EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd#base64binary"
xmlns="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
BinarySecurityTokenInsertedHere
</BinarySecurityToken>
<AdditionalContext xmlns="http://schemas.xmlsoap.org/ws/2006/12/authorization">
<ContextItem Name="DeviceType">
<Value>WindowsPhone</Value>
</ContextItem>
<ContextItem Name="ApplicationVersion">
<Value>5.0.7616.0</Value>
</ContextItem>
</AdditionalContext>
</RequestSecurityToken>
</s:Body>
</s:Envelope>
Configuración de programación de renovación de certificados
En Windows, el período de renovación solo se puede establecer durante la fase de inscripción de MDM. Windows admite un período de renovación de certificados y un reintento de error de renovación. Son configurables tanto por el servidor de inscripción MDM como por el servidor de administración de MDM mediante los nodos RenewPeriod y RenewInterval del CSP de CertificateStore. El dispositivo podría reintentar la renovación automática de certificados varias veces hasta que expire el certificado. Para la renovación manual de certificados, el dispositivo Windows recuerda al usuario con un cuadro de diálogo en cada tiempo de reintento de renovación hasta que el certificado ha expirado.
Para obtener más información sobre los parámetros, consulte el proveedor de servicios de configuración de CertificateStore.
A diferencia de la renovación manual de certificados, el dispositivo no realiza una renovación automática del certificado de cliente MDM si el certificado ya ha expirado. Para asegurarse de que el dispositivo tiene suficiente tiempo para renovarse automáticamente, se recomienda establecer un período de renovación un par de meses (40-60 días) antes de que expire el certificado. Además, establezca el intervalo de reintentos de renovación en cada pocos días, como cada 4-5 días en lugar de cada siete días (semanalmente). Este cambio aumenta la posibilidad de que el dispositivo intente conectarse en diferentes días de la semana.
Respuesta de renovación de certificados
Cuando RequestType se establece en Renovar, el servicio web comprueba lo siguiente (además de la inscripción inicial):
- La firma de BinarySecurityToken PKCS#7 es correcta
- El certificado del cliente está en el período de renovación
- El servicio de inscripción emite el certificado.
- El solicitante es el mismo que el solicitante para la inscripción inicial.
- Para la solicitud del cliente estándar, el cliente no está bloqueado
Una vez completada la validación, el servicio web recupera el contenido PKCS#10 de BinarySecurityToken PKCS#7. El resto es el mismo que la inscripción inicial, salvo que el XML de aprovisionamiento solo necesita tener el nuevo certificado emitido por la entidad de certificación.
Nota
La respuesta del servidor HTTP no debe fragmentarse; debe enviarse como un mensaje.
En el ejemplo siguiente se muestran los detalles de una respuesta de renovación de certificados.
<wap-provisioningdoc version="1.1">
<characteristic type="CertificateStore">
<!-- Root certificate provision is only needed here if it is not in the device already -->
<characteristic type="Root">
<characteristic type="System">
<characteristic type="EncodedRootCertHashInsertedHere ">
<parm name="EncodedCertificate" value="EncodedCertInsertedHere" />
</characteristic>
</characteristic>
</characteristic>
<characteristic type="My" >
<characteristic type="User">
<characteristic type="EncodedClientCertHashInsertedHere">
<parm name="EncodedCertificate" value="EncodedCertInsertedHere" />
<characteristic type="PrivateKeyContainer"/>
</characteristic>
</characteristic>
</characteristic>
</characteristic>
<characteristic type="APPLICATION">
<parm name="PROVIDER-ID" value="TestMDMServer"/>
</characteristic>
</wap-provisioningdoc>
Nota
El cliente recibe un nuevo certificado, en lugar de renovar el certificado inicial. El administrador controla qué plantilla de certificado debe usar el cliente. Las plantillas pueden ser diferentes en el momento de la renovación que la hora de inscripción inicial.
Proveedores de servicios de configuración admitidos durante la inscripción de MDM y la renovación de certificados
Los siguientes proveedores de servicios de configuración se admiten durante el proceso de inscripción y renovación de certificados mdm.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de