Uso del certificado PKI para la autenticación en la pasarela

Habilite un certificado de infraestructura de clave pública (PKI) para la autenticación con Mobile Enterprise Gateway (MEG).

Mobile Enterprise Gateway (MEG) versión 2.90 admite los siguientes elementos para la autenticación de certificados PKI.
  • Certificados de identidad de dispositivos y certificados de identidad de usuarios
  • Microsoft CA instalado en 2016 +
  • Microsoft AD configurado como Active Directory o perfil LDAP para Active Directory.
  • Los atributos del certificado que contienen la identificación del usuario son Subject Name y Subject Alternative Name.
  • Los atributos de directorio para el nombre de usuario son UPN, sAMAccountName, CN, UID (no compatible con Active Directory ), y name.
  • Formato del atributo de certificado.
    • UPN y DN
    • Varios perfiles LDAP para Active Directory
Requisitos previos
  • Configure la CA de Microsoft en el módulo de integración de certificados de Cloud Extender®. Para obtener más información, consulte Integración de Microsoft CA.

Flujo de trabajo de la configuración de la autenticación de certificados PKI

  1. Configure el Certificado de Dispositivo desde el módulo de Integración de Certificados de Cloud Extender y defina el Nombre del Sujeto o el Nombre Alternativo del Sujeto que contiene los atributos de nombre de usuario correspondientes de la verificación del Registro de Usuarios.
    • Si utiliza Nombre del asunto, introduzca la siguiente configuración.
      • Para establecer el nombre de sujeto del certificado como DN, escriba /CN=%dn% en el campo Nombre de sujeto de la plantilla de certificado.
      • Para establecer el nombre de sujeto del certificado como UPN, escriba /CN=%upn% en el campo Nombre de sujeto de la plantilla de certificado.
    • Si utiliza el Nombre alternativo del asunto, introduzca la siguiente configuración.
      • Para establecer el nombre alternativo de sujeto como DN, seleccione Otros como el Tipo de nombre alternativo de sujeto y establezca %dn% como la Plantilla de sujeto. Establezca un Nombre de asunto válido (/emailAddress=%email%).
      • Para establecer el nombre de sujeto del certificado como UPN, seleccione UPN como el Nombre alternativo de sujeto de la plantilla de certificado. Establezca un Nombre de asunto válido (/emailAddress=%email%).
  2. Configure la autenticación en Cloud Extender siguiendo los pasos de la página de configuración Active Directory de Cloud Extender.
  3. Configure los detalles de Autorización de Certificados de Enterprise Gateway utilizando la Herramienta de Configuración de Cloud Extender.
    En Modo de autenticación de certificados, seleccione una de las siguientes opciones.
    • Si se ha habilitado Validar información sobre el certificado con respecto a los atributos de usuario en el directorio corporativo , se muestra el Nombre de campo de certificado utilizado para la validación.
    • Si Comprobar estado de revocación de certificado está habilitado, se muestran las opciones En caso de que no se pueda comprobar el estado de revocación de certificado .
  4. Configure una política WorkPlace Persona que utilice un certificado y el identificador de plantilla recién creado para la autenticación de Mobile Enterprise Gateway (MEG).
    1. Inicie sesión en el portal del cliente y vaya a Política de Persona en el Lugar de Trabajo > Enterprise Gateway. El campo Tipo de autenticación para pasarela se visualiza con el valor predeterminado dePassword.
    2. Seleccione Certificado en la lista Tipo de autenticación para pasarela y, a continuación, confirme que se muestra el campo Certificado de identidad para autenticación de pasarela.
  5. Inscriba un nuevo dispositivo con la política WorkPlace Persona y, a continuación, espere hasta que reciba una notificación de que el nuevo certificado de identidad se ha enviado al dispositivo.
  6. Importe el certificado Certificate Authority Signing al almacén de confianza de Windows en Cloud Extender.
    1. Exporte el certificado Certificate Authority Signing a un archivo. Para la autoridad de certificación de Microsoft, consulte https://support.microsoft.com/en-us/help/555252 para conocer el procedimiento.
    2. Importe el certificado Certificate Authority Signing al almacén de confianza de Windows en Cloud Extender. Consulte el procedimiento en https://technet.microsoft.com/en-us/library/cc754489(v=ws.11).aspx.
  7. Reinicie la pasarela.
    1. Vaya al directorio de instalación de Cloud Extender en el servidor de Mobile Enterprise Gateway (MEG) . Por ejemplo, C:\Program Files (x86)\<path to MaaS360>\Cloud Extender.
    2. Busque y seleccione el archivo stopMobileGateway.bat. La extensión del archivo se mostrará si ha configurado las opciones de carpeta de Windows para mostrar los nombres de archivo.
    3. Espere unos 30 segundos a que se detenga Mobile Enterprise Gateway (MEG) .
    4. Busque y, a continuación, seleccione el archivo startMobileGateway.bat para reiniciar Mobile Enterprise Gateway (MEG).