Protocolo simple de inscripción de certificados (SCEP)

El Protocolo simple de inscripción de certificados (SCEP) es un protocolo de gestión de certificados que se utiliza principalmente para habilitar la autenticación basada en certificados. Con SCEP, Mobile Device Manager Plus le permite aplicar la autenticación basada en certificados para configuraciones de Wi-Fi, VPN y correo electrónico en sus dispositivos Android administrados.

Generalmente, en organizaciones a gran escala, se convierte en una tarea engorrosa para el administrador de TI emitir manualmente certificados de cliente para todos los dispositivos Android dentro de la red organizacional. SCEP simplifica la configuración y distribución de certificados al proporcionar un método simple y escalable para manejar certificados dentro de las organizaciones.

Las principales ventajas de la autenticación basada en certificados mediante SCEP son las siguientes:

• Cero intervención del usuario, ya que los usuarios se autentican automáticamente mediante certificados.
• Elimina la carga de configurar manualmente certificados de cliente específicos del usuario.
• Comunicación de red segura, ya que los datos se cifran y autentican mediante certificados.
• Los certificados de cliente también funcionan como una capa adicional de seguridad al proporcionar autenticación de dos factores; Se pueden evitar las amenazas de seguridad causadas por el uso de dispositivos no autorizados para acceder a datos comerciales o para conectarse a redes Wi-Fi o VPN relacionadas con el trabajo.

Prerrequisitos

• NDES debe instalarse en una máquina con Windows Server
• Configurar plantilla de certificado
1. Haga clic en el menú Inicio , seleccione Ejecutar , escriba mmc y haga clic en Aceptar.
2. Haga clic en Archivo y seleccione Agregar o quitar complemento ... Seleccione Plantillas de certificado , haga clic en Agregar y luego haga clic en Aceptar .

    

3. Haga clic con el botón derecho en Plantilla de certificado y seleccione Administrar .
4. Haga clic en Usuario y seleccione Plantilla duplicada .



5. Especifique un nombre para mostrar de plantilla y guárdelo haciendo clic en Aceptar .



6. Haga clic en Extensiones , seleccione Políticas de aplicación . Haga clic en Editar y seleccione Autenticación del cliente para agregarlo a las políticas de la aplicación.



7. Haga clic en Criptografía y especifique el tamaño mínimo de clave . El tamaño de clave recomendado es 2048, ya que mejora la seguridad. Este tamaño de clave debe especificarse al configurar SCEP en MDM.



8. Haga clic en Seguridad y seleccione el (los) grupo (s) a los que se aplicará la política. Asegúrese de que Enroll sea ​​un permiso permitido para los dominios seleccionados.



9. Haga clic en Nombre del sujeto y seleccione Suministro en la solicitud , para que los nombres de los sujetos se especifiquen en la solicitud de certificado.



• Asignar plantilla de certificado a SCEP
1. Agregue la Autoridad de certificación como complemento en Microsoft Management Console (MMC).

    

2. Expanda Autoridad de certificación y haga clic con el botón derecho en Plantillas de certificado . Haga clic en Nuevo y seleccione Plantilla de certificado para emitir .



3. Seleccione la Plantilla de certificado creada antes y haga clic en Aceptar.

    

Para cambiar la plantilla de certificado predeterminada utilizada por Microsoft NDES, se deben cambiar los valores del registro de Windows.

4. Haga clic en el menú Inicio , seleccione Ejecutar , escriba regedit y haga clic en Aceptar.
5. Expanda HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Criptografía -> MSCEP.
6. Haga clic con el botón derecho en Plantilla de cifrado y haga clic en Modificar .



7. Specify the name of the created Certificate Template for Value date. Repeat the same for GeneralPurposeTemplate and SignatureTemplate. Restart the server machine once for the changes to take place
.



• Evitar el vencimiento de la contraseña de desafío
If you're using Challenge password(recommended), then registry values must be modified to prevent expiry of Challenge password.

1. Open regedit and expand HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword.
2. Right-click UseSinglePassword and change the value of data as 1.



After configuration is complete, restart the NDES Server.

Configuración de SCEP en MDM