Distribuir certificados a los dispositivos Apple
Puedes distribuir certificados manualmente en dispositivos iPhone, iPad y Apple Vision Pro . Cuando los usuarios reciben un certificado, tienen que tocarlo para ver su contenido y volver a tocarlo para agregarlo al dispositivo. Al instalar un certificado de identidad, se pide al usuario que introduzca la contraseña que lo protege. Si no se puede verificar la autenticidad de un certificado, se indica que no es de confianza y el usuario puede decidir si aun así quiere agregarlo al dispositivo.
Puedes distribuir certificados a computadoras Mac de forma manual. Cuando los usuarios reciben un certificado, sólo tienen que hacer doble clic en él para abrir Acceso a Llaveros y revisar el contenido. Si el certificado satisface las expectativas, los usuarios seleccionan el llavero deseado y hacen clic en el botón Agregar. La mayoría de los certificados de usuario deben instalarse en Acceso a Llaveros. Al instalar un certificado de identidad, se pide al usuario que introduzca la contraseña que lo protege. Si no se puede verificar la autenticidad de un certificado, se indica que no es de confianza y el usuario puede decidir si aun así quiere agregarlo a la Mac.
Algunas identidades de certificado se pueden renovar automáticamente en computadoras Mac.
Métodos de implementación de certificados mediante cargas útiles de MDM
La siguiente tabla muestra las diferentes cargas útiles para implementar certificados mediante perfiles de configuración. Entre estas se incluyen la carga útil Certificado de Active Directory, la carga útil Certificado (para un certificado de identidad PKCS #12), la carga útil Entorno de administración de certificados automatizado (ACME), y la carga útil Protocolo de inscripción de certificados simple (SCEP).
Carga | Sistemas operativos y canales compatibles | Descripción | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Carga útil Certificado de Active Directory | Dispositivo macOS Usuario de macOS | Al configurar la carga útil del certificado de Active Directory, macOS envía una solicitud de firma de certificado directamente a un servidor de la autoridad de certificación Active Directory Certificate Services mediante una llamada a procedimiento remoto. Puedes inscribir identidades informáticas utilizando credenciales del objeto de la computadora Mac en Active Directory. Los usuarios pueden proporcionar sus credenciales como parte del proceso de inscripción para proveer identidades individuales. Con esta carga útil, los administradores disponen de un mayor control del uso de la clave privada y de la plantilla de certificados para la suscripción. Como con SCEP, la clave privada permanece en el dispositivo. | |||||||||
Carga útil ACME | iOS iPadOS Canal de iPad compartido Dispositivo macOS Usuario de macOS tvOS watchOS 10 visionOS 1.1 | El dispositivo obtiene certificados de una CA para los dispositivos Apple inscritos en una solución de MDM. Con esta técnica, la clave privada sólo permanece en el dispositivo y puede vincularse al hardware del dispositivo de forma opcional. | |||||||||
Carga útil Certificados (para el certificado de identidad PKCS #12) | iOS iPadOS Canal de iPad compartido Dispositivo macOS Usuario de macOS tvOS watchOS 10 visionOS 1.1 | si la identidad se está suministrando fuera del dispositivo en nombre del usuario o dispositivo, puede empaquetarse en un archivo PKCS #12 (.p12 o .pfx) y protegerse con una contraseña. Si la carga contiene la contraseña, la identidad puede instalarse sin necesidad de pedírsela al usuario. | |||||||||
Carga útil SCEP | iOS iPadOS Canal de iPad compartido Dispositivo macOS Usuario de macOS tvOS watchOS 10 visionOS 1.1 | El dispositivo envía la solicitud de firma de certificados directamente a un servidor de inscripción. Con esta técnica, la clave privada sólo permanece en el dispositivo. | |||||||||
Para asociar servicios a una determinada identidad, configura una carga ACME, SCEP o Certificados y, a continuación, configura el servicio que quieras en el mismo perfil de configuración. Por ejemplo, una carga útil SCEP puede configurarse a fin de suministrar una identidad para el dispositivo y, en el mismo perfil de configuración, puede configurarse una carga Wi-Fi para WPA2 Empresa/EAP-TLS utilizando el certificado de dispositivo resultante de la inscripción del SCEP para la autenticación.
Para asociar servicios a una determinada identidad en macOS, configura una carga útil del SCEP, ACME, de certificados o de Active Directory Certificate y configura el servicio que quieras en el mismo perfil de configuración. Por ejemplo, puedes configurar una carga útil de Certificado de Active Directory a fin de suministrar una identidad para el dispositivo y, en el mismo perfil de configuración, puede configurarse una carga útil Wi-Fi para WPA2 Empresa con EAP-TLS utilizando el certificado de dispositivo resultante de la inscripción del Certificado de Active Directory para la autenticación.
Renovar certificados instalados por los perfiles de configuración
Para garantizar el acceso continuo del servicio, los certificados implementados mediante una solución de MDM deben renovarse antes de su vencimiento. Para ello, las soluciones de MDM pueden consultar los certificados instalados, inspeccionar la fecha de vencimiento y emitir un nuevo perfil o configuración con anticipación.
Para los certificados Active Directory, cuando las identidades de certificado se implementan como parte de un perfil de dispositivo, el comportamiento predeterminado se renueva automáticamente en macOS 13 o posterior. Los administradores pueden configurar una preferencia de sistema para modificar este comportamiento. Para obtener más información, consulta el artículo de soporte de Apple Renovar automáticamente los certificados entregados mediante un perfil de configuración.
Instalar certificados mediante Mail o Safari
Puedes enviar un certificado como archivo adjunto de un mensaje de correo electrónico o alojar un certificado en un sitio web seguro donde los usuarios puedan descargarlo en sus dispositivos Apple.
Eliminar y revocar certificados
Una solución MDM puede ver todos los certificados de un dispositivo y eliminar los que tenga instalados.
Además, se puede usar el protocolo de estado de certificados online (OCSP) para revisar el estado de los certificados. Cuando se usa un certificado compatible con OCSP, iOS, iPadOS, macOS y visionOS lo validan periódicamente para comprobar que no se ha revocado.
Para revocar certificados mediante un perfil de configuración, consulta Configuración de la carga útil de MDM de revocación de certificados.
Para eliminar manualmente un certificado instalado en iOS, iPadOS y visionOS 1.1 o posterior, ve a Configuración > General > Admón. de dispositivos, selecciona un perfil, toca Más detalles y, por último, toca el certificado para eliminarlo. Si eliminas un certificado necesario para acceder a una cuenta o red, el dispositivo iPhone, iPad o Apple Vision Pro, deja de poder conectarse a esos servicios.
Para eliminar manualmente un certificado instalado en macOS, abre la app Acceso a Llaveros y busca el certificado. Selecciónalo y luego elimínalo del llavero. Si eliminas un certificado necesario para acceder a una cuenta o red, la Mac no podrá conectarse a esos servicios.