Descripción de la función de administración automática de certificados

Puede configurar MVE para gestionar certificados de impresora de forma automática y, a continuación, instalarlos en las impresoras mediante la aplicación de la configuración. El siguiente diagrama describe el proceso completo de la función de administración automática de certificados.

Los puntos finales de la autoridad de certificación, como el servidor de la CA y la dirección del servidor, deben establecerse en MVE.

Los servidores de la CA siguientes son compatibles:

• CA de OpenXPKI : los usuarios pueden utilizar cualquiera de los siguientes protocolos:

  • Protocolo de cifrado de certificados seguro (SCEP)

  • Conector de EST

  Notas:

  • EST es la forma recomendada de conectarse al servidor de OpenXPKI.
  • Para obtener más información sobre la configuración de la CA de OpenXPKI mediante el protocolo EST, consulte Administración de certificados mediante la autoridad certificadora de OpenXPKI a través de EST
  • Para obtener más información sobre la configuración de la CA de OpenXPKI mediante el protocolo SCEP, consulte Administración de certificados mediante la autoridad certificadora de OpenXPKI a través de SCEP

• CA de Microsoft Enterprise : los usuarios pueden utilizar cualquiera de los siguientes protocolos

  • Protocolo de cifrado de certificados seguro (SCEP)

  • Servicios web de inscripción de certificados de Microsoft (MSEWS)

  Notas:

  • MSCEWS es la forma recomendada de conectarse al servidor de la CA de Microsoft Enterprise.
  • Para obtener más información sobre la configuración de la CA de Microsoft mediante el protocolo MSCEWS, consulte Administración de certificados mediante la autoridad certificadora de Microsoft a través de MSCEWS
  • Para obtener más información sobre la configuración de la CA de Microsoft mediante el protocolo SCEP, consulte Administración de certificados mediante la autoridad certificadora de Microsoft a través de SCEP

Debe validarse la conexión entre MVE y los servidores de la CA. Durante la validación, MVE se comunica con el servidor de la CA para descargar la cadena de certificados y la lista de revocación de certificados (CRL). También se genera el certificado de agente de inscripción o el certificado de prueba. Este certificado permite al servidor de la CA confiar en MVE.

Para obtener más información sobre la definición de los puntos finales y su validación, consulte Configuración de MVE para la administración automática de certificados .

Una configuración establecida en Utilizar Markvision para gestionar los certificados de dispositivo debe asignarse y aplicarse en la impresora.

Para obtener más información, consulte los siguientes temas:

• Creación de una configuración

• Aplicación de configuraciones

Durante la aplicación, MVE comprueba la conformidad de la impresora.

Para el certificado de dispositivo predeterminado

• El certificado se valida con respecto a la cadena de certificados descargada del servidor de la CA.

• Si la impresora no cumple los requisitos, se pide una solicitud de firma de certificado (CSR) para dicha impresora.

Para el certificado de dispositivo con nombre

• El certificado se valida con respecto a la cadena de certificados descargada del servidor de la CA.

• MVE crea un certificado de dispositivo con nombre firmado automáticamente en el dispositivo.

• Si la impresora no cumple los requisitos, se pide una CSR para dicha impresora.

Notas:

• MVE se comunica con el servidor de la CA mediante los protocolos compatibles.
• El servidor de la CA genera el nuevo certificado y, a continuación, MVE envía el certificado a la impresora.
• Si existe un certificado con nombre en la impresora, no se crea un nuevo certificado con nombre, sino que se genera una CSR para la impresora.

Configuración de MVE para la administración automática de certificados

1. Haga clic en , en la esquina superior derecha de la página.

2. Haga clic en Autoridad de certificación > Utilizar el servidor de la autoridad de certificación .

   Nota:  El botón Utilizar el servidor de la autoridad de certificación solo aparecerá cuando configure la autoridad de certificación por primera vez o cuando elimine el certificado.

3. Configure los puntos finales del servidor.

   • Servidor de la CA : es el servidor de la autoridad de certificación (CA) que genera los certificados de la impresora. Seleccione una de las siguientes opciones:

     • CA de OpenXPKI

     • CA de Microsoft Enterprise

     Nota:  El usuario también puede configurar un servidor de la CA compatible con el protocolo Enrollment over Secure Transport (EST) .

     • El servidor de la CA debe implementar el protocolo EST tal como se define en RFC 7030.

       Nota:  Cualquier desviación de la especificación puede dar lugar a una configuración no válida.

     • EST es el protocolo recomendado para conectarse al servidor de la CA de OpenXPKI.

       Nota:  El servidor de Microsoft Enterprise no es compatible con el protocolo EST.

   • Dirección del servidor de la CA : es la dirección IP o el nombre de host del servidor de la CA. Este campo solo se aplica a los protocolos SCEP y EST.

     Nota:  Introduzca una de las siguientes opciones:

     • Para el servidor MSCA (mediante SCEP): <dirección IP del servidor o nombre de host>/certsrv/mssep/mssep.dll

     • Para el servidor OpenXPKI (mediante SCEP): <dirección IP del servidor o nombre de host>/scep/scep

     • Para EST, escriba cualquiera de las siguientes opciones:

       • https://172.87.95.240

       • https://estserver.com

       • estserver.com

   • Etiqueta de servidor de la CA (opcional) : si el usuario crea un nuevo dominio, se debe usar el mismo nombre de dominio en este campo.

   • Dirección del servidor del CEP : este campo solo se aplica al protocolo MSCEWS.

     Nota:  Introduzca una de las siguientes opciones:

     • Autenticación de nombre de usuario y contraseña: https://democep.com/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP

     • Para autenticación integrada de Windows: https://democep.com/ADPolicyProvider_CEP_Kerberos/service.svc/CEP

     • Para autenticación de certificado de cliente: https://democep.com/ADPolicyProvider_CEP_Certificate/service.svc/CEP

   • Nombre de host del servidor de la CA : es el nombre de host del servidor de la CA.

     Nota:  Por ejemplo, para el protocolo MSCEWS, el usuario puede seleccionar democa.lexmark.com

   • Nombre de host del servidor del CES : es la dirección IP o el nombre de host del servidor del CES.

     Nota:  Por ejemplo, para el protocolo MSCEWS, el usuario puede seleccionar democes.lexmark.com

   • Contraseña de comprobación : es la contraseña necesaria para confirmar la identidad de MVE en el servidor de la CA. Esta contraseña sólo es necesaria para la CA OpenXPKI. No es compatible con la CA de Microsoft Enterprise.

   Nota:  En función del servidor de la CA, debe configurar el modo de autenticación del servidor. Para ello, realice una de las siguientes acciones:

   • Si selecciona el protocolo EST , en el menú Modo de autenticación del servidor de la CA , seleccione una de las siguientes opciones:

     • Autenticación de nombre de usuario y contraseña

     • Autenticación de certificado de cliente

   • Si selecciona el protocolo MSCEWS , en el menú Modo de autenticación del servidor de la CA , seleccione una de las siguientes opciones:

     • Autenticación de nombre de usuario y contraseña

     • Autenticación de certificado de cliente

     • Autenticación integrada de Windows

   • El protocolo SCEP solo admite el modo de autenticación Contraseña de comprobación .

   Nota:  Dependiendo del servidor de la CA, consulte cualquiera de las secciones:

   • Administración de certificados mediante la autoridad certificadora de OpenXPKI a través de SCEP

   • Administración de certificados mediante la autoridad certificadora de Microsoft a través de SCEP

   • Administración de certificados mediante la autoridad certificadora de Microsoft a través de MSCEWS

   • Administración de certificados mediante la autoridad certificadora de OpenXPKI a través de EST

4. Haga clic en Guardar cambios y validar > Aceptar .

   Notas:

   • La opción Descartar cambios solo funciona si los cambios aún no se han guardado o se han guardado y validado.
   • El usuario no puede recuperar datos de una configuración no válida porque MVE no almacena el último estado válido de ninguna configuración. MVE solo almacena una configuración de certificado individual a la vez, que puede ser o no válida.

   Notas:

   • Debe validarse la conexión entre MVE y los servidores de la CA. Durante la validación, MVE se comunica con el servidor de la CA para descargar la cadena de certificados y la lista de revocación de certificados (CRL). También se genera el certificado de agente de inscripción o el certificado de prueba. Este certificado permite al servidor de la CA confiar en MVE.
   • Puede seleccionar una o varias plantillas CEP cuando utilice el protocolo MSCEWS. Haga lo siguiente:

   1. Después de hacer clic en Guardar cambios y validar , aparece la ventana Selección de plantilla CEP.

   2. Seleccione una o más de las plantillas disponibles.

      • El cuadro de diálogo Utilizar el servidor de la autoridad certificadora recupera la lista de revocaciones de certificados.

      • Un cuadro de diálogo confirma que la validación del certificado se ha realizado correctamente.

   3. Puede ver las plantillas del CEP seleccionadas en la página de configuración del servidor de la CA.

   Nota:  Cuando aplica esta configuración a cualquier dispositivo, se crea un certificado según la plantilla seleccionada.

5. Vuelva a la página Configuración del sistema y, a continuación, revise el certificado CA.

   Nota:  También puede descargar o eliminar el certificado CA.

Descripción general

En el siguiente escenario de implementación, todos los permisos se basan en los permisos definidos en las plantillas de certificado publicadas en el controlador de dominio. Las solicitudes de certificado enviadas a la CA se basan en las plantillas de certificado.

Para esta configuración, asegúrese de que dispone de lo siguiente:

• Un equipo que aloja la CA subordinada

• Un equipo que aloja el servicio NDES

• Un controlador de dominio

Usuarios necesarios

Cree los siguientes usuarios en el controlador de dominio:

• Administrador del servicio

  • Denominado SCEPAdmin

  • Debe ser miembro de los grupos local admin y Enterprise Admin

  • Debe estar registrado localmente cuando se active la instalación de la función NDES

  • Dispone de permiso de inscripción para las plantillas de certificado

  • Dispone de permiso para agregar plantillas en la CA

• Cuenta de servicio

  • Denominada SCEPSvc

  • Debe ser miembro del grupo IIS_IUSRS local

  • Debe ser un usuario de dominio y disponer de los permisos de escritura e inscripción en las plantillas configuradas

  • Dispone de permiso de solicitud en la CA

• Administrador de CA de Enterprise

  • Denominado CAAdmin

  • Miembro del grupo Administrador de Enterprise

  • Debe formar parte del grupo administrador local