Protocolo simple de inscripción de certificados (SCEP)

El Protocolo simple de inscripción de certificados (SCEP) es un protocolo estándar utilizado para la gestión de certificados. SCEP se utiliza principalmente para la autenticación basada en certificados, por lo que el acceso a servicios como Wi-Fi, VPN y la protección del correo electrónico mediante cifrado se realiza mediante certificados.

Las principales ventajas de la autenticación basada en certificados son:

• Intervención de usuario cero, ya que los usuarios se autentican mediante certificados.
• Comunicación de red segura, ya que los datos se cifran y autentican mediante certificados.

Sin embargo, distribuir certificados manualmente es una tarea engorrosa para los administradores de TI en organizaciones a gran escala. SCEP ayuda a los administradores de red a instalar fácilmente certificados en los dispositivos. SCEP proporciona un método simplificado y escalable para manejar certificados en grandes organizaciones. La diferencia entre Certificado y SCEP es que la política de SCEP se utiliza para distribuir certificados de cliente a los dispositivos, mientras que la política de Certificado distribuye los certificados de CA a los dispositivos.

Prerrequisitos

• NDES debe instalarse en una máquina con Windows Server
• Configurar plantilla de certificado
1. Haga clic en el menú Inicio , seleccione Ejecutar , escriba mmc y haga clic en Aceptar.
2. Haga clic en Archivo y seleccione Agregar o quitar complemento ... Seleccione Plantillas de certificado , haga clic en Agregar y luego haga clic en Aceptar .

    

3. Haga clic con el botón derecho en Plantilla de certificado y seleccione Administrar .
4. Haga clic en Usuario y seleccione Plantilla duplicada .



5. Especifique un nombre para mostrar de plantilla y guárdelo haciendo clic en Aceptar .



6. Haga clic en Extensiones , seleccione Políticas de aplicación . Haga clic en Editar y seleccione Autenticación del cliente para agregarlo a las políticas de la aplicación.

      

7. Haga clic en Criptografía y especifique el tamaño mínimo de clave . El tamaño de clave recomendado es 2048, ya que mejora la seguridad. Este tamaño de clave debe especificarse al configurar SCEP en MDM.



8. Click on Security and select the Group(s), to which the policy is to be applied. Ensure Enroll is an allowed permission for the selected domain(s).



9. Click on Subject Name and select Supply in the request, for subject names to be specified in the certificate request.



• Asignar plantilla de certificado a SCEP
1. Add Certificate Authority as a snap-in in the Microsoft Management Console(MMC).

    

2. Expand Certification Authority and right-click on Certificate Templates. Click New and select Certificate Template to Issue.



3. Select the Certificate Template created before and click OK.

    

To change the default certificate template used by Microsoft NDES, windows registry values are to be changed.

4. Click on Start Menu, select Run, type regedit and click OK.
5. Expand HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP.
6. Right-click on Encryption Template and click Modify.



7. Specify the name of the created Certificate Template for Value date. Repeat the same for GeneralPurposeTemplate and SignatureTemplate. Restart the server machine once for the changes to take place
.



• Evitar el vencimiento de la contraseña de desafío
If you're using Challenge password(recommended), then registry values must be modified to prevent expiry of Challenge password.

1. Open regedit and expand HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword.
2. Right-click UseSinglePassword and change the value of data as 1.



After configuration is complete, restart the NDES Server.

Configuración de SCEP en MDM