Distribuir certificados a dispositivos Apple
Puedes distribuir certificados a dispositivos iPhone, iPad y Apple Vision Pro de forma manual. Cuando los usuarios reciben un certificado, tienen que pulsar sobre él para ver su contenido y volver a pulsar para añadirlo al dispositivo. Al instalar un certificado de identidad, se pide al usuario que introduzca la contraseña que lo protege. Si no se puede verificar la autenticidad de un certificado, se indica que no es de confianza y el usuario puede decidir si aun así quiere añadirlo al dispositivo.
Puedes distribuir certificados a ordenadores Mac de forma manual. Cuando los usuarios reciben un certificado, solo tienen que hacer doble clic en él para abrir Acceso a Llaveros y revisar el contenido. Si el certificado satisface las expectativas, los usuarios seleccionan el llavero deseado y hacen clic en el botón Añadir. La mayoría de los certificados de usuario deben instalarse en el llavero de inicio de sesión. Al instalar un certificado de identidad, se pide al usuario que introduzca la contraseña que lo protege. Si no se puede verificar la autenticidad de un certificado, se indica que no es de confianza y el usuario puede decidir si aun así quiere añadirlo al Mac.
Algunas identidades de certificado se pueden renovar automáticamente en ordenadores Mac.
Métodos de implementación de certificados que utilizan cargas de MDM
La siguiente tabla muestra las distintas cargas útiles para implementar certificados que utilicen perfiles de configuración. Estos perfiles incluyen la carga “Certificado de Active Directory”, la carga Certificado (para un certificado de identidad PKCS #12), la carga “Entorno de gestión de certificados automatizado (ACME)” y la carga “Protocolo de inscripción de certificados simple (SCEP)”.
Carga | Sistemas operativos compatibles y canales | Descripción | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Carga “Certificado de Active Directory” | Dispositivo macOS Usuario de macOS | Al configurar la carga del certificado de Active Directory, macOS envía una solicitud de firma de certificados directamente al servidor de servicios de certificados de Active Directory de una autoridad de certificación emisora mediante una llamada a procedimiento remoto. Puedes inscribir identidades informáticas usando credenciales del objeto del ordenador Mac en Active Directory. Los usuarios pueden proporcionar sus credenciales como parte del proceso de inscripción para proveer identidades individuales. Con esta carga, los administradores disponen de un mayor control del uso de la clave privada y de la plantilla de certificados para la inscripción. Como con SCEP, la clave privada permanece en el dispositivo. | |||||||||
Carga ACME | iOS iPadOS Dispositivo iPad compartido Dispositivo macOS Usuario de macOS tvOS watchOS 10 visionOS 1.1 | El dispositivo obtiene los certificados de una CA para los dispositivos Apple inscritos en una solución MDM. Con esta técnica, la clave privada solo se queda en el dispositivo y, de manera opcional, puede vincularse con él por hardware. | |||||||||
Carga Certificados (para el certificado de identidad PKCS #12) | iOS iPadOS Dispositivo iPad compartido Dispositivo macOS Usuario de macOS tvOS watchOS 10 visionOS 1.1 | Si la identidad se está suministrando fuera del dispositivo en nombre del usuario o dispositivo, puede empaquetarse en un archivo PKCS #12 (.p12 o .pfx) y protegerse con una contraseña. Si la carga útil contiene la contraseña, la identidad puede instalarse sin necesidad de pedírsela al usuario. | |||||||||
Carga SCEP | iOS iPadOS Dispositivo iPad compartido Dispositivo macOS Usuario de macOS tvOS watchOS 10 visionOS 1.1 | El dispositivo coloca la petición de firma del certificado directamente en un servidor de inscripción. Con esta técnica, la clave privada solo permanece en el dispositivo. |
Para asociar servicios con una determinada identidad, configura una carga ACME, SCEP o de certificado y, a continuación, configura el servicio que quieras en el mismo perfil de configuración. Por ejemplo, una carga SCEP puede configurarse con el fin de suministrar una identidad para el dispositivo y, en el mismo perfil de configuración, puede configurarse una carga útil Wi-Fi para WPA2 Enterprise/EAP-TLS utilizando el certificado de dispositivo resultante de la inscripción del SCEP para la autenticación.
Para asociar servicios a una determinada identidad en macOS, configura una carga “Certificado de Active Directory”, ACME, SCEP o de certificado y, a continuación, configura el servicio que quieras en el mismo perfil de configuración. Por ejemplo, puedes configurar una carga “Certificado de Active Directory” para suministrar una identidad para el dispositivo y, en el mismo perfil de configuración, puede configurarse una carga Wi-Fi para WPA2 Empresa con EAP-TLS utilizando el certificado de dispositivo resultante de la inscripción de “Certificado de Active Directory” para la autenticación.
Renovación de certificados instalados por perfiles de configuración
Para asegurarse el acceso ininterrumpido al servicio, los certificados implementados con una solución MDM deben renovarse antes de caducar. Para ello, las soluciones MDM pueden enviar consultas a los certificados instalados, inspeccionar la fecha de caducidad y emitir un nuevo perfil o configuración con antelación.
Para los certificados de Active Directory, cuando se implementan las identidades de los certificados como parte del perfil de un dispositivo, el comportamiento por omisión es la renovación automática en macOS 13 o posterior. Los administradores pueden configurar una preferencia del sistema para modificar este comportamiento. Para obtener más información, consulta el artículo de soporte de Apple Renovar automáticamente certificados distribuidos a través de un perfil de configuración.
Instalar certificados mediante Mail o Safari
Puedes enviar un certificado como archivo adjunto de un mensaje de correo electrónico o alojar un certificado en un sitio web seguro donde los usuarios puedan descargarlo en sus dispositivos Apple.
Eliminar y revocar certificados
Una solución MDM puede ver todos los certificados de un dispositivo y eliminar los que tenga instalados.
Además, se admite el protocolo de estado de certificados online (OCSP) para comprobar el estado de los certificados. Cuando se usa un certificado compatible con OCSP, iOS, iPadOS, macOS y visionOS lo validan periódicamente para comprobar que no ha sido revocado.
Para revocar certificados usando un perfil de configuración, consulta Ajustes de carga de MDM “Revocación de certificados”.
Para eliminar manualmente un certificado instalado en iOS, iPadOS, visionOS 1.1, o posterior, ve a Ajustes > General > Gestión de dispositivos, selecciona un perfil, pulsa “Más detalles” y, por último, toca el certificado para eliminarlo. Si eliminas un certificado necesario para acceder a una cuenta o una red, el dispositivo iPhone, iPad o Apple Vision Pro deja de poder conectarse a esos servicios.
Para eliminar manualmente un certificado instalado en macOS, abre la app Acceso a Llaveros y, a continuación, busca el certificado. Selecciónalo y, a continuación, elimínalo del llavero. Si eliminas un certificado necesario para acceder a una cuenta o red, el Mac pierde la capacidad de conectarse a esos servicios.