Protocolo simple de inscripción de certificados (SCEP)

El Protocolo simple de inscripción de certificados (SCEP) es un protocolo estándar utilizado para la gestión de certificados. SCEP se utiliza principalmente para la autenticación basada en certificados, por lo que el acceso a servicios como Wi-Fi, VPN y la protección del correo electrónico mediante cifrado se realiza mediante certificados.

Las principales ventajas de la autenticación basada en certificados son:

• Intervención de usuario cero, ya que los usuarios se autentican mediante certificados.
• Comunicación de red segura, ya que los datos se cifran y autentican mediante certificados.

Sin embargo, distribuir certificados manualmente es una tarea engorrosa para los administradores de TI en organizaciones a gran escala. SCEP ayuda a los administradores de red a instalar fácilmente certificados en los dispositivos. SCEP proporciona un método simplificado y escalable para manejar certificados en grandes organizaciones. La diferencia entre Certificado y SCEP es que la política de SCEP se utiliza para distribuir certificados de cliente a los dispositivos, mientras que la política de Certificado distribuye los certificados de CA a los dispositivos.

Prerrequisitos

• NDES debe instalarse en una máquina con Windows Server
• Configurar plantilla de certificado
1. Haga clic en el menú Inicio , seleccione Ejecutar , escriba mmc y haga clic en Aceptar.
2. Haga clic en Archivo y seleccione Agregar o quitar complemento ... Seleccione Plantillas de certificado , haga clic en Agregar y luego haga clic en Aceptar .

    

3. Haga clic con el botón derecho en Plantilla de certificado y seleccione Administrar .
4. Haga clic en Usuario y seleccione Plantilla duplicada .



5. Especifique un nombre para mostrar de plantilla y guárdelo haciendo clic en Aceptar .



6. Haga clic en Extensiones , seleccione Políticas de aplicación . Haga clic en Editar y seleccione Autenticación del cliente para agregarlo a las políticas de la aplicación.

      

7. Haga clic en Criptografía y especifique el tamaño mínimo de clave . El tamaño de clave recomendado es 2048, ya que mejora la seguridad. Este tamaño de clave debe especificarse al configurar SCEP en MDM. Tenga en cuenta el tamaño mínimo de clave que se especificará en el servidor MDM al configurar SCEP.



8. Haga clic en Seguridad y seleccione el (los) grupo (s) a los que se aplicará la política. Asegúrese de que Enroll sea ​​un permiso permitido para los dominios seleccionados.



9. Haga clic en Nombre del sujeto y seleccione Suministro en la solicitud , para que los nombres de los sujetos se especifiquen en la solicitud de certificado.



• Asignar plantilla de certificado a SCEP
1. Agregue la Autoridad de certificación como complemento en Microsoft Management Console (MMC).

    

2. Expand Certification Authority and right-click on Certificate Templates. Click New and select Certificate Template to Issue.



3. Select the Certificate Template created before and click OK.

    

To change the default certificate template used by Microsoft NDES, windows registry values are to be changed.

4. Click on Start Menu, select Run, type regedit and click OK.
5. Expand HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP.
6. Right-click on Encryption Template and click Modify.



7. Specify the name of the created Certificate Template for Value date. Repeat the same for GeneralPurposeTemplate and SignatureTemplate. Restart the server machine once for the changes to take place
.



• Evitar el vencimiento de la contraseña de desafío
If you're using Challenge password(recommended), then registry values must be modified to prevent expiry of Challenge password.

1. Open regedit and expand HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Cryptography -> MSCEP -> UseSinglePassword.
2. Right-click UseSinglePassword and change the value of data as 1.

Configuración de SCEP en MDM