Guía de operaciones del SCEP
Aquí se describen las operaciones que utilizan SCEP con EJBCA.
Para obtener una descripción general de las capacidades de EJBCA con SCEP, consulte la descripción general de SCEP .
Ejemplos de mensajes para clientes
Contenido relacionado
Configuración de SCEP
La URL de SCEP es http://HOST:PORT/ejbca/publicweb/apply/scep/ALIAS/pkiclient.exe .
La URL contiene una referencia a un alias de configuración, "ALIAS". "ALIAS" es una cadena alfanumérica que hace referencia al conjunto de configuraciones SCEP que deben utilizarse al gestionar la solicitud SCEP que llega a través de esta URL. Es posible configurar tantos alias de configuración como se desee mediante la línea de comandos o la interfaz de usuario de CA.
Al crear un alias SCEP con el nombre scep, estará disponible mediante la URL predeterminada (la misma URL que en versiones anteriores), http://HOST:PORT/ejbca/publicweb/apply/scep/pkiclient.exe .
Configuración de SCEP en la interfaz de usuario de CA
Para configurar SCEP mediante la interfaz de usuario de CA, seleccione Configuración del sistema → Configuración de SCEP .
Tenga en cuenta que necesita el acceso /edit_systemconfiguration para poder editar la configuración de SCEP. Para obtener más información, consulte Reglas de acceso .
Configuración de SCEP en la interfaz de línea de comandos
Para obtener información sobre cómo crear y configurar los alias SCEP mediante la línea de comandos, ejecute el siguiente comando desde el directorio de inicio de EJBCA.
Al crear un alias SCEP con el nombre scep, estará disponible mediante la URL predeterminada (la misma URL que en versiones anteriores), http://HOST:PORT/ejbca/publicweb/apply/scep/pkiclient.exe .
$ bin /ejbca .sh config scep Propiedades de alias
En el modo CA, EJBCA espera que las entidades finales se creen manualmente y que el cliente SCEP simplemente se inscriba para obtener los certificados.
Modo CA
Propiedades
A continuación se enumeran las propiedades disponibles.
Propiedad | Descripción |
Incluir certificado CA en respuesta | Establezca como verdadero para que el certificado de CA se transmita como parte de la respuesta. |
Permitir algoritmos de resumen heredados en respuesta | Establézcalo como verdadero para permitir el uso de SHA1 y MD5 en la respuesta. Si no se establece, el valor predeterminado es SHA256. |
Permitir renovación de certificado de cliente (edición empresarial): | Establezca en verdadero para realizar la renovación del certificado del cliente, donde una solicitud de inscripción que llega a la mitad de la validez del certificado dará como resultado automáticamente la emisión de un nuevo certificado. |
Permitir la renovación del certificado de cliente utilizando una clave antigua (edición empresarial): | Establezca como verdadero para permitir que la renovación del certificado de cliente se realice en claves existentes. |
Modo RA
EMPRESA Esta es una característica de EJBCA Enterprise.
En el modo RA , EJBCA no requiere que la entidad final esté inscrita, sino que la creará como parte del proceso de emisión.
Propiedades
A continuación se enumeran las propiedades disponibles.
Propiedad | Descripción |
Incluir certificado CA en respuesta | Establezca como verdadero para que el certificado de CA se transmita como parte de la respuesta. |
Permitir algoritmos de resumen heredados en respuesta | Establézcalo como verdadero para permitir el uso de SHA1 y MD5 en las respuestas. Si no se establece, el valor predeterminado es SHA256. |
Autenticarse a través de Microsoft Intune | Valida solicitudes SCEP con Microsoft Intune, consulte Modo RA con soporte de Microsoft Intune . |
Perfil de entidad final de RA | El perfil de entidad final que se utilizará para la entidad final inscrita. |
Perfil del certificado RA | El perfil de certificado que se utilizará para la entidad final inscrita. |
Nombre de RA CA | La CA bajo la cual se inscribirá la entidad final. |
Contraseña de autenticación de RA | Una contraseña de autenticación que se requerirá en la solicitud. |
Esquema de generación de nombres de RA | Cómo generar el nombre de usuario de la entidad final. |
Parámetros de generación de nombres de RA | ¿En qué se basará el nombre de usuario de la entidad final? Puede ser parte del DN, el DN completo del sujeto, aleatorio o fijo. |
Prefijo de generación de nombres RA | Un prefijo general para anteponer a los nombres de usuario de las entidades finales. |
Sufijo de generación de nombres RA | Un sufijo general para agregar a los nombres de usuario de las entidades finales. |
Modo RA con soporte de Microsoft Intune
EMPRESA Esta es una característica de EJBCA Enterprise.
En modo RA , EJBCA también puede usar Microsoft Intune para validar solicitudes SCEP. Al habilitar la opción "Autenticar mediante Microsoft Intune", se agregan propiedades de configuración específicas de Intune. Como puede ver en el ejemplo de configuración a continuación, al seleccionar "Autenticar mediante Intune", se deshabilita el campo de contraseña de autenticación de RA, ya que la contraseña se verifica con Intune.
Propiedades
Nombre | Descripción |
URL de autenticación de Azure Active Directory | La URL de autenticación de Azure Active Directory se utiliza para emitir el token de inicio de sesión. Este valor debe especificarse si se usa EJBCA en otra nube de Azure, como la federal de EE. UU. u otra región. Si no se especifica ningún valor, se usa el valor predeterminado: https://login.microsoftonline.com/ |
Identificador de aplicación de Azure | El ID de la aplicación se obtiene al crear un nuevo registro de aplicación. Consulte Configurar Intune para obtener los pasos necesarios. |
Secreto de API de aplicación de Azure | El secreto de API se obtiene al crear un secreto en la aplicación registrada. Consulte Configurar Intune para conocer los pasos para obtener el secreto de API. |
Inquilino de Intune | El inquilino de Intune es el nombre de dominio de la cuenta de usuario utilizada para iniciar sesión en Microsoft Azure. Si el nombre de dominio de la cuenta es admin@primekey.com, el inquilino de Intune sería primekey.com . |
URL del recurso de Intune | Se usa para especificar la audiencia del token en Azure. Este valor debe especificarse si se usa EJBCA en otra nube de Azure, como la federal de EE. UU. u otra región. Si no se especifica ningún valor, se usa el valor predeterminado: https://api.manage.microsoft.com/ |
Versión específica del gráfico | La versión de la API de Microsoft Graph. Si no se especifica, este valor predeterminado es la versión 1.0. |
URL del recurso gráfico | La URL para especificar la detección automática para Intune. Este valor debe especificarse si se usa EJBCA en otra nube de Azure, como la federal de EE. UU. u otra región. Si no se especifica ningún valor, se usa el valor predeterminado: https://graph.windows.net/ |
Host proxy EJBCA | El host en el que está alojado el proxy al que apuntan los clientes para acceder a Internet. |
Puerto proxy EJBCA | El número de puerto del proxy al que apuntan los clientes para acceder a Internet. |
Usuario proxy de EJBCA | El nombre de usuario de la cuenta utilizada para iniciar sesión en el proxy si el proxy está configurado para autenticación básica. |
Contraseña de proxy EJBCA | La contraseña de la cuenta utilizada para iniciar sesión en el proxy si el proxy está configurado para autenticación básica. |
La URL debe tener una barra diagonal / al final de la URL.Ejemplos de mensajes para clientes
Si bien existen muchos clientes SCEP (como se indica en la página de descripción general de SCEP ), muchos casos de uso requieren la creación de clientes personalizados. Utilizando las bibliotecas de criptografía de BouncyCastle , hemos generado algunas implementaciones de ejemplo en Java si necesita ayuda para comenzar. Para más información, consulte Soporte al cliente de SCEP .
Contenido relacionado
Página: Inscripción de certificados de dispositivos de Microsoft Intune
Página: Configurar Intune
Página: SCEP