Configuración de la carga útil de MDM Certificados en dispositivos Apple
Puedes establecer la configuración de la carga útil Certificados en los dispositivos iPhone, iPad, Mac y Apple TV inscritos en una solución de administración de dispositivos móviles (MDM). Usa la carga útil Certificados para agregar certificados y una identidad al dispositivo.
La carga útil Certificados es compatible con las siguientes funciones; para obtener más información, consulta Información de la carga útil.
Identificadores de cargas útiles compatibles: com.apple.security.pem, com.apple.security.pem1, com.apple.security.pem12, com.apple.security.root
Sistemas operativos y canales compatibles: iOS, iPadOS, dispositivo iPad compartido, dispositivo macOS, usuario de macOS, tvOS, watchOS 10, visionOS 1.1.
Tipos de inscripción compatibles: perfil Inscripción de usuarios, perfil Inscripción de dispositivos y perfil Inscripción de dispositivos automatizada.
Duplicados permitidos: verdadero; se pueden enviar varias cargas útiles Certificados a un usuario o dispositivo.
Puedes usar las configuraciones de la siguiente tabla con la carga útil Certificados.
Configuración | Descripción | Necesario | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Nombre del certificado | El nombre mostrado para el certificado. | Sí | |||||||||
Datos del certificado o identidad | Los dispositivos iPhone, iPad, Mac y Apple TV pueden usar certificados X.509 con claves RSA. Los formatos y las extensiones de archivo reconocidas son:
Los archivos PKCS #12 también incluyen la clave privada y contienen exactamente una identidad. Para garantizar la protección de la clave privada, los archivos PKCS #12 se encriptan con una contraseña. | Sí | |||||||||
Contraseña | La contraseña usada para proteger las credenciales. | No | |||||||||
Nota: cada proveedor de soluciones de MDM implementa esta configuración de manera diferente. Para obtener información sobre cómo aplicar a tus dispositivos y usuarios las diferentes opciones de la configuración Certificados, consulta la documentación de tu proveedor de MDM.
Al agregar un certificado o identidad
Cuando instalas un certificador raíz, también puedes instalar los certificados intermedios para establecer una cadena a un certificado de confianza que se encuentre en el dispositivo. Esto puede ser importante para tecnologías como 802.1X. Para ver una lista de raíces preinstaladas para los dispositivos Apple, consulta el artículo de soporte de Apple Lista de certificados raíz de confianza disponibles en dispositivos con iOS 17, iPadOS 17, macOS 14, tvOS 17 y watchOS 10.
Si el certificado o la identidad que deseas instalar se encuentra en tu llavero, usa Acceso a Llaveros para exportarlo en formato PKCS #12 (.p12). Acceso a Llaveros se encuentra en /Aplicaciones/Utilidades/. Para obtener más información, consulta el Manual de uso de Acceso a Llaveros.
Si quieres agregar una identidad para usarla con Microsoft Exchange o Exchange ActiveSync, Inicio de sesión único, VPN y red o Wi‑Fi, usa la carga correspondiente.
Al implantar un archivo PKCS #12 (.p12 o .pfx), si omites la contraseña de la identidad del certificado, se solicita a los usuarios que la ingresen al instalar el perfil. El contenido de la carga se ofusca pero no se encripta. Si incluyes la contraseña, asegúrate de que el perfil esté disponible sólo para los usuarios autorizados.
En lugar de instalar certificados mediante un perfil de configuración, puedes permitir a los usuarios usar Safari para descargar los certificados en su dispositivo desde una página web que los utilice (de este modo tú no tienes que alojar el certificado). También puedes enviar certificados a usuarios en un correo electrónico. Asimismo, puedes usar la configuración de las cargas de MDM para SCEP (Simple Certificate Enrollment Protocol) para especificar el modo en que el dispositivo obtiene los certificados cuando se instala el perfil.
Certificados de confianza
Un certificado tiene confianza completa si:
Se instala mediante una instancia de Apple Configurator que tiene la misma identidad de supervisión que el dispositivo.
Se instala de forma automática mediante una solución MDM compatible.
Se instala de forma manual mediante una carga útil adjunta a un perfil de inscripción desde una solución MDM compatible.
Como práctica recomendada, evita que los usuarios instalen certificados. En lugar de eso, asegúrate de que la carga útil Certificados esté en el perfil de inscripción de MDM para eliminar el paso de confiar manualmente en el certificado.