Configure Omnissa Workspace ONE for Connector para SCEP - AWS Private Certificate Authority
Requisitos previosPaso 1: Defina una entidad emisora de certificados y una plantilla en Omnissa Workspace ONEPaso 2: Configure una configuración de perfil de Omnissa Workspace ONE UEMPaso 3: inscriba los dispositivos en Omnissa Workspace ONEPaso 4: Emitir un certificadoSolución de problemasConsideraciones de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure Omnissa Workspace ONE for Connector para SCEP

Puede utilizarlo AWS Private CA como entidad emisora de certificados (CA) externa con el sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Esta guía proporciona instrucciones sobre cómo configurar Omnissa Workspace ONE después de crear un conector SCEP en. AWS

Requisitos previos

Antes de crear un conector SCEP para Omnissa Workspace ONE, debe cumplir los siguientes requisitos previos:

  • Cree una CA privada en la consola. AWS Para obtener más información, consulte Cree una CA privada en AWS Private CA.

  • Cree un conector SCEP de uso general. Para obtener más información, consulte Crear un conector.

  • Tenga una cuenta de administrador de entorno de Omnissa Workspace ONE activa con un identificador de grupo organizativo.

  • Si va a inscribir un dispositivo Apple, configure el servicio de notificaciones push de Apple (APNs) para MDM. Para obtener más información, consulta APNs los certificados en la documentación de Omnissa.

Paso 1: Defina una entidad emisora de certificados y una plantilla en Omnissa Workspace ONE

Tras crear un conector CA y SCEP privado en la AWS consola, defina la autoridad de certificación y la plantilla en Omnissa Workspace ONE.

Añádala AWS Private CA como entidad emisora de certificados

  1. En el menú Sistema, elija Enterprise Integration y, a continuación, elija Autoridades de certificación.

  2. Seleccione + AGREGAR y proporcione la siguiente información:

    • Nombre: AWS-Private-CA.

    • Descripción: AWS Private CA para la emisión de certificados de dispositivos.

    • Tipo de autoridad: seleccione el SCEP genérico.

    • URL del SCEP: Introduzca la URL del SCEP desde. AWS Private CA

    • Tipo de desafío: seleccione STATIC.

    • Desafío estático: introduzca la contraseña del desafío estático del SCEP desde el conector para la configuración del SCEP en la AWS consola.

    • Introduzca los valores de tiempo de espera de reintento y máximo de reintentos.

  3. Guarde la configuración.

Cree una plantilla de certificado

  1. En el menú Sistema, elija Enterprise Integration, elija Autoridades de certificación y, a continuación, elija Plantillas.

  2. Seleccione Añadir plantillas y proporcione la siguiente información:

    • Nombre de la plantilla: Device-Cert-Template.

    • Autoridad de certificación: elija AWS-Private-CA.

    • Nombre del asunto: se trata de un campo personalizable. Puede elegir valores variables de una lista de atributos. Por ejemplo, CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute

    • Longitud de la clave privada: 2048 bits.

    • Tipo de clave privada: seleccione la firma y el cifrado según sea necesario

    • Renovación automática: Enabled/Disabled (según sus necesidades).

  3. Guarde la plantilla.

Paso 2: Configure una configuración de perfil de Omnissa Workspace ONE UEM

Cree un perfil en Omnissa Workspace ONE UEM que dirija los dispositivos a Connector for SCEP para emitir un certificado.

Cree un perfil de dispositivo SCEP para la distribución de certificados

  1. En el menú Recursos, elija Perfiles y líneas base y, a continuación, elija Perfiles.

  2. Seleccione Añadir y, a continuación, Añadir perfil

  3. Selecciona la plataforma del dispositivo (Android, iOS, macOS, Windows).

  4. Defina el tipo de administración y el contexto según corresponda.

  5. Establezca el nombre: Device-Cert-Profile.

  6. Desplázate hasta SCEP Payload.

  7. Seleccione SCEP y, a continuación, elija +Añadir.

  8. Utilice la siguiente configuración:

    • SCEP:

      • En Fuente de credenciales, seleccione Autoridad de certificación definida (predeterminada).

      • En Autoridad de certificación, seleccione -Private-CAAWS

      • Para la plantilla de certificado, seleccione la plantilla de certificado del dispositivo definida en el paso 1.

  9. Elija Siguiente y, en la sección Asignación, seleccione el grupo inteligente correcto de la lista (grupo de asignación para el dispositivo).

  10. Seleccione el tipo de asignación como Automático para activar la renovación automática.

  11. Guarde y publique el perfil.

nota

Para obtener más información, consulte el SCEP en la documentación de Omnissa.

Paso 3: inscriba los dispositivos en Omnissa Workspace ONE

Cree o verifique un grupo inteligente

  1. En Grupos y configuraciones, elija Grupos y, a continuación, elija Grupos de tareas.

  2. Cree o edite el grupo inteligente de dispositivos POC:

    • Nombre: POC-Devices.

    • Tipo de dispositivo: selecciona Todas o una plataforma específica (Android o iOS, por ejemplo).

    • Criterios: uso UserGroup, plataforma y sistema operativo, OEM y modelo para especificar los criterios para agrupar los dispositivos de destino.

    • Propiedad: seleccione cualquier opción para dispositivos personales o corporativos.

  3. Guarde y verifique que los dispositivos de destino aparezcan en la pestaña Vista previa.

Inscripción manual de dispositivos

Android

  • Descarga la aplicación Workspace ONE Intelligent Hub de Google Play.

  • Abre la aplicación e introduce la URL de inscripción o escanea un código QR.

  • Inicie sesión y siga las instrucciones para inscribirse como dispositivo administrado por MDM.

iOS/macOS

  • En el dispositivo, abre Safari y navega hasta la URL de inscripción (https://<Workspace ONEUEMHostname >/enroll, por ejemplo).

  • Inicie sesión con las credenciales de usuario.

  • Descargue e instale la aplicación Workspace ONE Intelligent Hub desde la App Store.

  • Sigue las instrucciones para instalar el perfil MDM en Configuración > General > Administración de dispositivos y VPN > Perfil > Instalar.

Windows

  • Descargue Workspace ONE Intelligent Hub desde el servidor Workspace ONE o desde Microsoft Store.

  • Inscríbase a través del Hub mediante la URL de inscripción y las credenciales.

Asigne los dispositivos inscritos al grupo inteligente de dispositivos POC en Dispositivos > Vista de lista > Más acciones > Asignar al grupo inteligente.

Para obtener más información, consulte la inscripción automática de dispositivos en la documentación de Omnissa.

Verifica la inscripción

  1. En la consola Omnissa Workspace ONE UEM, vaya a Dispositivos y, a continuación, a Vista de lista.

  2. Confirme que sus dispositivos inscritos aparezcan con el estado establecido en Inscrito.

  3. Verifique que los dispositivos estén en el grupo inteligente de dispositivos POC en la pestaña Grupos de los detalles del dispositivo.

Paso 4: Emitir un certificado

Activa la emisión de un certificado

  1. En la vista de lista de dispositivos, seleccione el dispositivo inscrito.

  2. Pulse el botón de consulta para solicitar el registro.

  3. Device-Cert-ProfileDeben emitir un certificado mediante. AWS Private CA

Verifique la instalación del certificado

Android

Seleccione Configuración, Seguridad, Credenciales de confianza y, por último, Usuario para comprobar el certificado.

iOS

Vaya a Configuración, seleccione General, Administración de dispositivos y VPN y, por último, Perfil de configuración. Compruebe que el certificado de AWS-Private-CA esté presente.

macOS

Abra Keychain Access y, a continuación, System Keychain y verifique el certificado.

Windows

Abra certmgr.msc, luego Personal y, por último, Certificados para verificar el certificado.

Solución de problemas

Errores del SCEP (por ejemplo, «22013: el servidor SCEP devolvió una respuesta no válida»)

  • Compruebe que la URL del SCEP y la contraseña de desafío estática en Workspace ONE coincidan. AWS Private CA

  • <SCEP_URL>Pruebe la conectividad del punto final del SCEP: curl.

  • Compruebe AWS CloudTrail los registros para AWS Private CA ver si hay errores (IssueCertificatefallos, por ejemplo).

APNs problemas (iOS/macOS)

  • Asegúrese de que el APNs certificado sea válido y esté asignado al grupo organizativo correcto.

  • Pruebe la APNs conectividad: telnet gateway.push.apple.com 2195.

Fallos en la instalación del perfil

  • Confirme que los dispositivos estén en el grupo inteligente correcto (dispositivos, luego Vista de lista y, por último, grupos).

  • Forzar la sincronización de un perfil: Más acciones, luego Enviar y, por último, Lista de perfiles.

Registros

  • Android: usa los registros de Logcat o Workspace ONE.

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfigurador).

  • Windows: Visor de eventos, luego Registros de aplicaciones y servicios y luego Microsoft-Windows-. DeviceManagement

  • Workspace ONE UEM: Monitor, luego Informes y análisis, Eventos y, por último, Eventos del dispositivo.

Para obtener información detallada sobre el conector para la supervisión del SCEP AWS, consulte Monitor Connector para el SCEP.

Consideraciones de seguridad

  • Guarde el SCEP URLs y sus secretos de forma segura. Para obtener más información, consulte el AWS Secrets Manager servicio.

  • Restrinja los criterios de los grupos inteligentes a los dispositivos de destino únicamente.

  • Renueva periódicamente los certificados de notificaciones push de Apple (APNs) (válidos durante 1 año).

  • Establezca períodos cortos de validez de los certificados para los proyectos de prueba de concepto a fin de minimizar el riesgo.

  • En el caso de los dispositivos personales, asegúrese de que la limpieza elimine todos los perfiles y certificados.

Para obtener información sobre cómo configurar la integración de Omnissa Workspace ONE UEM y CA mediante un conector SCEP, consulte la documentación sobre el SCEP en Omnissa Workspace ONE.