Módulo Integración de certificados

El módulo Integración de certificados permite a los usuarios utilizar su entidad emisora de certificados (CA) y suministrar automáticamente certificados de dispositivos y usuarios a los dispositivos inscritos. Los certificados se utilizan para la autenticación de correo electrónico, wifi, VPN o MaaS360® Mail.

Cloud Extender ® interactúa con la CA y, a continuación, envía los certificados emitidos a los dispositivos inscritos utilizando el método siguiente:

Recibe solicitudes de certificados del portal IBM® MaaS360 para todos los dispositivos inscritos que requieren un certificado de identidad.
Realiza la autenticación en la CA y en la entidad emisora de registros (RA), como parte del proceso de solicitud de certificados.
Solicita certificados de ID pasando los detalles del dispositivo o usuario y los atributos correspondientes, como parte de la solicitud de certificados.
Cifra el certificado recibido utilizando la clave pública del dispositivo solicitante y envía la carga útil cifrada al IBM MaaS360, que se entrega al dispositivo.
Da soporte a renovaciones automáticas de certificados y garantiza que los dispositivos reciban los nuevos certificados antes de que caduque el certificado actual.

Nota: En el caso de las tabletas Windows, Cloud Extender protege el certificado mediante contraseña, cifra la contraseña utilizando la clave pública del dispositivo solicitante y envía la carga útil cifrada al portal IBM MaaS360. Cuando la plataforma MaaS360 recibe los certificados protegidos por contraseña (como parte de la política), MaaS360 utiliza la API MDM de Windows para enviar la carga cifrada a la tableta.

Versiones de CA soportadas

Cloud Extender se integra con las siguientes entidades emisoras de certificados:

Microsoft CA instalado en 2003, 2008 R2o 2012 R2
Requiere NDES 2008 + (sólo da soporte a la versión en inglés del servidor NDES)
PKI gestionado por Symantec
Entrust Identity Guard y Admin Services
PKI de Verizon MCS

Cloud Extender debe configurarse con una plantilla de certificado que contenga información sobre el servidor de CA y las credenciales administrativas para autenticar y solicitar certificados de dispositivo. Todos los tipos de dispositivos ( iOS, Android, Windows Phone y Mac OS X ) que estén inscritos en MaaS360 admiten la entrega de certificados.

Requisitos del sistema

Antes de iniciar la instalación, asegúrese de que el entorno cumple con los siguientes requisitos mínimos:

Microsoft Windows 2016 o posterior para la instalación de Cloud Extender
.NET 3.5 o superior
Microsoft: Network Device Enrollment Service (NDES) configurado en el servidor 2008 + (sólo da soporte a la versión en inglés del servidor NDES)
Symantec: Acceso administrativo a la solución alojada de PKI de Symantec
Entrust: Acceso administrativo a Entrust IdentityGuard Server v10.1 o v10.2, o Entrust Admin Services v8.2 SP1 o v8.3
Verizon MCS: Acceso administrativo a la consola de Verizon MCS
Requisitos de alta disponibilidad (HA):
- Acceso de compartición de archivos de Windows desde Cloud Extenders de alta disponibilidad para el almacenamiento en memoria caché de certificados
- Necesario solo para Microsoft y Symantec PKI

Escalado

Cloud Extender para la integración de certificados se puede ejecutar en modalidad de alta disponibilidad (HA) activa-activa. Debe importar la misma plantilla de certificado de un Cloud Extender a todos los demás nodos que se ejecutan en modalidad HA. Configure Cloud Extenders de alta disponibilidad adicionales para cada 10.000 dispositivos inscritos en el sistema.

Ejemplo: Si 10.000 dispositivos requieren certificados, instale dos Cloud Extenders en modalidad HA. Para 10.000 dispositivos adicionales, instale otroCloud Extender para certificados. Si tiene 50.000 dispositivos inscritos que requieren certificados, instale seis Cloud Extenders para el escalado y la alta disponibilidad. El IBM MaaS360 Portal hace round robins de solicitudes de certificados entre los Cloud Extenders activos y conectados.

Tabla 1. Requisitos de escalado para el módulo de integración de entidad emisora de certificados
Elemento	Requisito
Menos de 10.000 dispositivos	CPU: 2 núcleos Memoria: 4 GB
Más de 10.000 dispositivos	Escalado: Da soporte a la instalación en varias instancias de Cloud Extender con alta disponibilidad (HA). Instale en un Cloud Extender dedicado o habilitado en Cloud Extender con los servicios de visibilidad de usuarios o autenticación de usuarios habilitados. Para obtener un escalado preciso del entorno, consulte el documento de escalado de Ampliador de nube en Configuración > Servicios > Integración empresarial.

Certificados de dispositivo o certificados de usuario

Desde la perspectiva del dispositivo, todos los certificados se tratan como certificados de usuario. Cloud Extender emite certificados de dispositivo o certificados de usuario a los dispositivos basados en la plantilla de certificado definida en Cloud Extender.

Nota: Para un entorno que utiliza varios Cloud Extenders, todas las plantillas de certificado deben residir en cada Cloud Extender que utilice certificados PKI.

La tabla siguiente lista las diferencias entre los certificados de dispositivo y los certificados de usuario:

Certificado	Descripción
Dispositivo	Cloud Extender genera un certificado basado en los requisitos y envía dicho certificado al dispositivo. Cloud Extender utiliza plantillas de certificado para pasar atributos de usuario como parte del Nombre de asunto/Nombre alternativo, que enlaza el certificado con el usuario y se utiliza como certificado de dispositivo. Los dispositivos tratan todos los certificados como certificados de usuario. Tipo de plantilla de certificado utilizado más común que da soporte a Microsoft, Symantec, Entrust y Verizon MCS. Normalmente se utilizan para la autenticación.
Usuario	Requiere que el certificado esté presente en Active Directory para el usuario. Presenta requisitos adicionales para configurar la recuperación de claves y extraer la clave privada del certificado. Cloud Extender sólo puede buscar el certificado si existe. Cloud Extender no puede generar certificados que faltan. Sólo está soportado por Microsoft CA. Se utiliza principalmente para que los certificados MIME seguro entreguen certificados de firma. Información relacionada: Soporte de certificados SMIME múltiples en Active Directory En el caso de los certificados de usuario que se utilizan para autenticación, seleccione la plantilla de certificados de dispositivos y proporcione los atributos de usuario para pasarlos a la CA, de modo que ésta genere los certificados.

Certificado

Descripción

Dispositivo

Cloud Extender genera un certificado basado en los requisitos y envía dicho certificado al dispositivo.
Cloud Extender utiliza plantillas de certificado para pasar atributos de usuario como parte del Nombre de asunto/Nombre alternativo, que enlaza el certificado con el usuario y se utiliza como certificado de dispositivo.
Los dispositivos tratan todos los certificados como certificados de usuario.
Tipo de plantilla de certificado utilizado más común que da soporte a Microsoft, Symantec, Entrust y Verizon MCS.
Normalmente se utilizan para la autenticación.

Usuario

Requiere que el certificado esté presente en Active Directory para el usuario.
Presenta requisitos adicionales para configurar la recuperación de claves y extraer la clave privada del certificado.
Cloud Extender sólo puede buscar el certificado si existe. Cloud Extender no puede generar certificados que faltan.
Sólo está soportado por Microsoft CA.
Se utiliza principalmente para que los certificados MIME seguro entreguen certificados de firma. Información relacionada: Soporte de certificados SMIME múltiples en Active Directory
En el caso de los certificados de usuario que se utilizan para autenticación, seleccione la plantilla de certificados de dispositivos y proporcione los atributos de usuario para pasarlos a la CA, de modo que ésta genere los certificados.