Certificados PKI

Los ajustes de «Certificados PKI» te permiten gestionar la infraestructura de claves públicas necesaria para establecer la comunicación entre ordenadores y dispositivos móviles y autoridades certificadoras (CA). Jamf Pro requiere una PKI compatible con autenticación con certificado.

La PKI debe incluir los siguientes componentes:

  • Una autoridad certificadora (CA). Puedes usar la CA integrada, una CA externa de confianza o una CA externa compatible con SCEP.

  • Un certificado de una autoridad certificadora (CA).

  • Un certificado de firma.

Si quieres más información sobre la PKI y sus componentes, consulta Seguridad.

Además, puedes usar los ajustes de «Certificados PKI» para configurar un token web JSON para proteger las descargas de apps y libros internos para iOS y tvOS. Consulta el artículo de la base de conocimientos Configuring a JSON Web Token to Secure Downloads of iOS and tvOS In-House Apps and Books (Configuración de un token web JSON para proteger descargas de libros y apps internas de iOS y tvOS).

Consulta y exportación de certificados

Puedes consultar la siguiente información de un certificado:

  • Nombre del sujeto

  • Número de serie

  • Nombre del dispositivo asociado al certificado

  • Nombre de usuario asociado al certificado

  • Nombre de la configuración de la CA

  • Fecha/hora de emisión

  • Fecha/hora de caducidad

  • Estado general (Activo o Inactivo)

  • Estado detallado (Emitido, «Caducidad próxima», Caducado o Revocado)

  • Perfiles de configuración asociados a un certificado de terceros

Cuando estás consultando una lista de certificados, puedes exportar la lista a un archivo .csv, .txt o XML.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .
    Se mostrará una lista de CA con el número de certificados con caducidad próxima, activos, inactivos o totales de cada CA.

  5. Haz clic en un número en la columna «Caducidad próxima», Activo, Inactivo o Todo.
    Se mostrará una lista de los certificados correspondientes.

  6. Haz clic en el sujeto de un certificado para ver más detalles sobre un certificado en concreto.
    Si procede, los detalles del certificado incluirán la fecha de revocación. Para certificados de CA de terceros, también se muestran los perfiles de configuración asociados con el certificado.

  7. (Opcional) Si quieres exportar la lista de certificados mostrados en el paso 5:

    1. Haz clic en Exportar.

    2. Selecciona el formato para el archivo exportado.

    3. Haz clic en Siguiente.

    4. La exportación comienza inmediatamente.

    5. Haz clic en Hecho.

La CA integrada

No se necesita ninguna configuración para usar la CA integrada de Jamf Pro. La CA integrada se usa por omisión para emitir certificados para ordenadores y dispositivos móviles. El certificado CA y el certificado de firma se crean y se almacenan automáticamente en tu nombre. Cuando un dispositivo se registra en Jamf Pro, se comunica con el servidor SCEP para obtener el certificado CA.

Nota: Si no quieres que los ordenadores o dispositivos móviles se comuniquen directamente con un servidor de SCEP y usas la CA integrada, puedes activar Jamf Pro como proxy SCEP para que emita certificados de dispositivo mediante perfiles de configuración. Si quieres más información, consulta el documento técnico Enabling Jamf Pro as SCEP Proxy (Activación de Jamf Pro como proxy SCEP).

Descarga del certificado de la CA integrada

El certificado (.pem) descargado de la CA integrada se puede usar para establecer la confianza con otros servidores o servicios. Por ejemplo, puedes establecer la confianza para IIS en servidores Windows para puntos de distribución HTTPS. Si quieres más información, consulta el artículo de la base de conocimientos Using IIS to Enable HTTPS Downloads on a Windows Server 2016 or 2019 File Share Distribution Point (Uso de IIS para activar las descargas HTTPS en un punto de distribución de recurso compartido de Windows Server 2016 o 2019).

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .

  5. Haz clic en la pestaña Plantilla de certificado de gestión. A continuación, haz clic en CA integrada.

  6. Haz clic en Descargar certificado CA. Se descargará el archivo del certificado (.pem).

El certificado emitido por la CA integrada también se almacena en el llavero del sistema en Acceso a Llaveros en ordenadores Mac como «JAMF Software JSS Built-in Certificate Authority» (Autoridad certificadora integrada JAMF Software JSS).

Revocación de un certificado de la CA integrada

Aviso: Al revocar un certificado se interrumpe la comunicación entre Jamf Pro y el ordenador o dispositivo móvil para el que se emitió el certificado. Para restaurar la comunicación, reinscribe el ordenador o dispositivo móvil.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .
    Se mostrará una lista de CA con el número de certificados con caducidad próxima, activos, inactivos o totales de cada CA.

  5. Haz clic en un número en la columna «Caducidad próxima», Activo, Inactivo o Todo.
    Se mostrará una lista de los certificados correspondientes.

  6. Haz clic en el sujeto de un certificado para ver más detalles sobre un certificado en concreto.

  7. Para revocar el certificado, haz clic en Revocar images/download/thumbnails/81534282/ban.png .

  8. Haz clic en Revocar de nuevo para confirmar.
    El estado general del certificado cambia a Inactivo y Revocado.

Nota: También puedes consultar un registro de certificados revocados en el archivo jamfsoftwareserver.log. Puedes consultar más información en la sección Registros de servidor de Jamf Pro de esta guía.

Creación de un certificado de CA integrada a partir de una CSR

En función de tu entorno, es posible que tengas que crear un certificado a partir de una solicitud de firma de certificado (CSR). Por ejemplo, es posible que necesites hacer esto si tienes un entorno con clustering con Tomcat configurado para funcionar detrás de un balanceador de carga.

Nota: El certificado creado a partir de la CSR tiene la función exclusiva de establecer la comunicación entre Jamf Pro y un ordenador o dispositivo móvil gestionado.

Para crear un certificado a partir de una CSR, necesitas una solicitud en formato PEM con codificación Base64.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .

  5. Haz clic en la pestaña Plantilla de certificado de gestión. A continuación, haz clic en CA integrada.

  6. Haz clic en Crear certificado desde CSR.

  7. En el campo CSR, pega la CSR.
    La solicitud debe empezar por
    ----BEGIN CERTIFICATE REQUEST----
    y terminar en
    ----END CERTIFICATE REQUEST----

  8. Selecciona un tipo de certificado.

  9. Haz clic en Crear.
    Se descargará el archivo del certificado (.pem) inmediatamente.

Creación de una copia de seguridad del certificado de la CA integrada

Se recomienda crear una copia de seguridad protegida con contraseña del certificado de CA emitido por la CA integrada y almacenarla en un lugar seguro.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .

  5. Haz clic en la pestaña Plantilla de certificado de gestión. A continuación, haz clic en CA integrada.

  6. Haz clic en Crear copia de seguridad de CA.

  7. Crea y verifica una contraseña para proteger la copia de seguridad del certificado de la CA integrada.
    Tendrás que introducir esta contraseña para restaurar la copia de seguridad del certificado.

  8. Haz clic en Crear copia de seguridad.
    El archivo de copia de seguridad (.p12) se descargará inmediatamente.

Renovación de la CA integrada

Cuando la CA caduca, algunos procesos esenciales de Jamf Pro no funcionan. Por ejemplo, si se inscriben ordenadores o dispositivos móviles cuando la CA ha caducado, no se pueden gestionar. Se recomienda renovar la CA integrada antes de la fecha de caducidad.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .

  5. Haz clic en un número en la columna «Todo».
    Se mostrará una lista de los certificados correspondientes.

  6. Haz clic en el certificado que indica «Autoridad certificadora» en el sujeto para ver sus detalles.

  7. Haz clic en Renovar images/download/thumbnails/81534028/arrow-around-right.png y confirma la renovación.

  8. (Opcional) Comprueba la nueva fecha de caducidad.

  9. Actualiza la página. El estado de renovación se muestra en «Notificación de Jamf Pro». Además, si tu cuenta tiene configuradas las notificaciones por correo electrónico, se envía un correo que indica el estado del proceso de renovación.

Cuando se renueva la CA integrada, su fecha de caducidad se amplía 10 años. Todos los certificados de firma emitidos por la CA integrada se renuevan automáticamente.

Nota: Una vez completada correctamente la renovación de la autoridad certificadora (CA) integrada, el perfil MDM para ordenadores y dispositivos móviles se pone en cola automáticamente para su renovación. La próxima vez que los ordenadores y dispositivos móviles se registren en Jamf Pro, el perfil MDM se renovará, y el valor del campo Fecha de caducidad de perfil MDM del inventario mostrará la nueva fecha de caducidad. Los certificados de identidad de dispositivo caducarán a los dos años. Para monitorizar qué perfiles MDM no se renuevan, puedes crear un grupo inteligente de ordenadores o dispositivos móviles y definir el valor del criterio de búsqueda Renovación de perfil MDM necesaria como Sí.

Ten en cuenta lo siguiente:

  • La renovación de la CA integrada puede afectar a las integraciones que usan la CA integrada o a los certificados creados a partir de una CSR firmada por la CA. Es posible que haya que reemitir estos certificados.
    Las integraciones afectadas pueden incluir:

    • Configuración de punto de distribución de recurso compartido HTTPS

    • Firma de perfiles de configuración personalizados

    • Plug-in SCCM (System Center Configuration Manager)

  • Si «Compatibilidad con Apple Education» está activado en tu entorno, la renovación de la CA integrada provoca la redistribución de los perfiles EDU. Esto puede aumentar el tráfico de red.

Importante: Si falla la renovación de la CA integrada, no vuelvas a activar el proceso. Si la fecha de caducidad no se amplía u observas problemas con la CA renovada —por ejemplo, Jamf Pro no puede comunicarse con ordenadores o dispositivos móviles gestionados—, ponte en contacto con Soporte de Jamf.

CA de terceros

Puedes integrar Jamf Pro con CA de terceros de confianza, como DigiCert, Venafi, o Active Directory Certificate Services (AD CS). Estas integraciones permiten a una organización tener una CA que controle todos los certificados de identidad en todos los dispositivos. El uso de una CA de terceros permitirá generar informes unificados de todos los certificados para los equipos de TI.

  • DigiCert: Los certificados de DigiCert se gestionan en Jamf Pro usando el servicio DigiCert PKI Platform. Una vez establecida la comunicación entre Jamf Pro y la DigiCert PKI Platform, puedes implantar certificados en ordenadores o dispositivos móviles. Si quieres más información, consulta el documento técnico Integración con DigiCert usando Jamf Pro.

  • Venafi: Los certificados de Venafi se gestionan en Jamf Pro usando Venafi Trust Protection Platform. Una vez establecida la comunicación entre Jamf Pro y Venafi Trust Protection Platform, puedes implantar certificados en ordenadores o dispositivos móviles. Si quieres más información, consulta el documento técnico Integración con Venafi usando Jamf Pro.

  • AD CS: Una vez establecida la comunicación con el proveedor de PKI correctamente, puedes implantar certificados mediante perfiles de configuración usando AD CS como la CA. También puedes distribuir apps internas desarrolladas con el Jamf Certificate SDK para establecer identidades de modo que la autenticación con certificado pueda realizar el inicio de sesión único (SSO) u otras acciones específicas de tu entorno. Si quieres más información, consulta el documento técnico Integrating with Active Directory Certificate Services (AD CS) Using Jamf Pro (Integración con Active Directory Certificate Services (AD CS) usando Jamf Pro).

CA externas

Si usas una CA de terceros o de la organización compatible con SCEP, puedes usarla para emitir certificados de gestión para ordenadores y dispositivos móviles. Cuando un dispositivo se registra en Jamf Pro, se comunica con el servidor SCEP para obtener el certificado.

Nota: Si no quieres que los ordenadores o dispositivos móviles se comuniquen directamente con un servidor de SCEP y usas una CA externa, puedes usar Jamf Pro para obtener certificados de gestión del servidor de SCEP e instalarlos en dispositivos durante la inscripción. También puedes activar Jamf Pro como proxy SCEP para emitir certificados de dispositivo mediante perfiles de configuración. Si quieres más información, consulta el documento técnico Enabling Jamf Pro as SCEP Proxy (Activación de Jamf Pro como proxy SCEP).

Integrar el sistema con una CA externa implica los siguientes pasos:

  • Especificar parámetros de SCEP para la CA externa

  • Cargar un certificado de firma y un certificado CA para la CA externa

Nota: Si necesitas hacer cambios en tu CA de terceros o de la organización en Jamf Pro, te recomendamos que contactes con tu representante de cuenta de Jamf. Los cambios en los ajustes de PKI pueden requerir la reinscripción de dispositivos móviles en tu entorno para restaurar la comunicación de confianza entre el servidor de Jamf Pro y los dispositivos móviles necesaria para la gestión de dispositivos móviles (MDM). El uso de prestaciones de políticas disponibles en Jamf Pro puede permitir la preparación de un cambio en los ajustes de PKI para la gestión de ordenadores o la restauración de la comunicación de confianza entre el servidor de Jamf Pro y los ordenadores gestionados después de realizar un cambio en los ajustes de PKI en Jamf Pro. Se pueden usar políticas para actualizar los ajustes de certificados de confianza en ordenadores gestionados necesarios para MDM.

Especificación de parámetros de SCEP para una CA externa

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .

  5. Haz clic en la pestaña Plantilla de certificado de gestión. A continuación, haz clic en CA externa.

  6. Haz clic en Editar.

  7. Usa el panel «CA externa» para especificar los parámetros de SCEP.

  8. Elige el tipo de contraseña de desafío que quieres usar en el menú desplegable Tipo de desafío.

    • Static (Estático): Si quieres que todos los ordenadores y dispositivos móviles usen la misma contraseña de desafío, elige Static y especifica una contraseña de desafío. La contraseña de desafío se usará como secreto precompartido para inscripción automática.

    • Dynamic (Dinámico): Si usas una CA ajena a Microsoft y quieres que cada ordenador y dispositivo móvil use una contraseña de desafío única, elige Dynamic. El tipo de desafío dinámico requiere usar la API Classic y haberse suscrito al Jamf Developer Program. El desafío dinámico usa Fingerprint (Huella digital) o Thumbprint (Huella de pulgar) para autenticar al usuario, en lugar de un nombre de usuario y contraseña. El valor de hash de Thumbprint (Huella de pulgar) para el campo Fingerprint (Huella digital) de Jamf Pro aparece en el perfil que recibes. Antes de seleccionar esta opción, contacta con tu representante de cuenta de Jamf para informarte sobre el Jamf Developer Program y los pasos adicionales que debes seguir para usar esta opción.

      Nota: Si eliges el tipo de desafío Dynamic, debes usar la inscripción iniciada por el usuario para inscribir ordenadores y dispositivos móviles de modo que se use una contraseña de desafío única para cada dispositivo. Si quieres más información, consulta Inscripción iniciada por el usuario para ordenadores y Inscripción iniciada por el usuario para dispositivos móviles.

    • Dynamic-Microsoft CA (Dinámico-CA de Microsoft): Si usas una CA de Microsoft y quieres que cada ordenador y dispositivo móvil use una contraseña de desafío única, elige «Dynamic-Microsoft CA».

      Nota: Si eliges el tipo de desafío «Dynamic-Microsoft CA», debes usar la inscripción iniciada por el usuario para inscribir ordenadores y dispositivos móviles de modo que se use una contraseña de desafío única para cada dispositivo. Si quieres más información, consulta Inscripción iniciada por el usuario para ordenadores y Inscripción iniciada por el usuario para dispositivos móviles.

    • Dynamic-Entrust (Dinámico-Entrust): Si usas una CA de Entrust, elige «Dynamic-Entrust».

      Nota: Si activas Jamf Pro como proxy SCEP e integras el sistema con una CA de Entrust, debes realizar pasos adicionales para distribuir certificados mediante perfiles de configuración. Si quieres más información, consulta el documento técnico Enabling Jamf Pro as SCEP Proxy (Activación de Jamf Pro como proxy SCEP).

  9. Haz clic en Save (Guardar) images/download/thumbnails/81531754/floppy-disk.png .

Carga de certificados de firma y CA para una CA externa

Para integrar una CA externa con Jamf Pro, debes proporcionar los certificados de firma y CA para la CA externa. Esto se hace cargando en Jamf Pro un almacén de claves de certificado de firma (.jks o .p12) que contenga ambos certificados. Si quieres información sobre cómo obtener y descargar un certificado de firma de proxy SCEP desde una CA de Microsoft, consulta los siguientes artículos de la base de conocimientos:

Nota: Por omisión, Jamf Pro usa los certificados de firma y CA para la CA integrada de Jamf Pro. Debes reemplazar estos certificados por los de la CA externa durante la configuración inicial de la integración.

  1. Inicia sesión en Jamf Pro.

  2. En la esquina superior derecha de la página, haz clic en Ajustes images/download/thumbnails/81545437/Icon_Settings_Hover.png .

  3. Haz clic en Gestión global.

  4. Haz clic en Certificados PKI images/download/thumbnails/81545437/PKI.png .

  5. Haz clic en la pestaña Plantilla de certificado de gestión. A continuación, haz clic en CA externa.

  6. En la parte inferior del panel «CA externa», haz clic en Change Signing and CA Certificates (Cambiar certificados de firma y CA).

  7. Sigue las instrucciones en pantalla para cargar los certificados de firma y CA para la CA externa.

Información relacionada

Puedes consultar información relacionada en los siguientes artículos de la base de conocimientos:

Copyright     Política de privacidad     Condiciones de uso     Seguridad
© copyright 2002-2020 Jamf. Todos los derechos reservados.