Configurar certificados en dispositivos móviles gestionados

Esta función está disponible en G Suite Enterprise, G Suite Enterprise para Centros Educativos, G Suite Enterprise Essentials y Cloud Identity Premium.

Puedes controlar si los usuarios pueden acceder con sus dispositivos móviles a las redes Wi‑Fi y a las aplicaciones y los sitios web internos de tu organización distribuyendo certificados de dispositivo desde tu autoridad de certificación (CA) local. Google Cloud Certificate Connector es un servicio de Windows® que distribuye de forma segura certificados y claves de autenticación de tu servidor del Protocolo de inscripción de certificados simple (SCEP) a los dispositivos móviles de los usuarios. Más información

Nota: Las claves privadas para la certificación de dispositivos se generan en los servidores de Google. Las claves se eliminan definitivamente de los servidores de Google una vez que el certificado está instalado en el dispositivo o después de 24 horas (lo que ocurra antes).

Requisitos del sistema

  • Tu organización debe usar el servicio de certificados de Microsoft® Active Directory® en un servidor SCEP y distribuir certificados mediante Microsoft Network Device Enrollment Service (NDES).

  • Para distribuir certificados a dispositivos iOS y Android, se necesita la gestión avanzada de dispositivos móviles. Consulta más información sobre los requisitos de los dispositivos.

  • Los dispositivos Android deben utilizar la aplicación Android Device Policy, puesto que la antigua aplicación Google Apps Device Policy para Android ya no está disponible. Más información

Antes de empezar

  • Si necesitas el nombre del sujeto del certificado para utilizar los nombres de usuario de Active Directory, debes sincronizar tu Active Directory y el directorio de Google con Google Cloud Directory Sync (GCDS). Si hace falta, configura GCDS.

  • Si aún no has subido un certificado de CA en la consola de administración de Google, añade un certificado.

Paso 1: Descarga Google Cloud Certificate Connector

En el servidor de SCEP o en un ordenador con Windows con una cuenta que pueda iniciar sesión como servicio en el servidor de SCEP, sigue los pasos que se indican más abajo. Ten las credenciales de la cuenta a mano.

Si tu organización tiene varios servidores, puedes usar el mismo agente del conector de certificados en todos ellos. Descarga e instala el archivo de instalación, el archivo de configuración y el archivo de clave en un ordenador, tal como se describe en los pasos descritos más abajo. A continuación, copia esos tres archivos en el otro ordenador y sigue las instrucciones de configuración en ese ordenador.

Nota: Descarga Google Cloud Certificate Connector y sus componentes solo la vez que configures los certificados para tu organización. Los certificados y los perfiles de SCEP pueden compartir un único conector de certificados.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos . En la parte izquierda, haz clic en Redes.

    Se requiere el privilegio de administrador Configuración de dispositivos compartidos.

  3. Haz clic en SCEP seguro y luego Descargar conector.
  4. En la sección Google Cloud Certificate Connector, haz clic en Descargar. Se creará una carpeta en el escritorio que contendrá el conector de certificados y en la que te recomendamos que descargues los otros archivos de configuración del conector.
  5. En la sección de descarga del archivo de configuración del conector, haz clic en Descargar. Se descargará el archivo config.json.

  6. En la sección Obtener una clave para la cuenta de servicio, haz clic en Generar clave. Se descargará el archivo key.json.
  7. Ejecuta el instalador del conector de certificados.
    1. En el asistente de instalación, haz clic en Siguiente.
    2. Acepta los términos del acuerdo de licencia y haz clic en Siguiente.
    3. Selecciona la cuenta para la que se debe instalar el servicio y haz clic en Siguiente. La cuenta debe tener privilegios para iniciar sesión como servicio en el servidor SCEP.
    4. Selecciona dónde instalar el conector. Te recomendamos que utilices la ubicación predeterminada. Haz clic en Siguiente.
    5. Introduce las credenciales de tu cuenta de servicio y haz clic en Siguiente. El servicio se instalará.
    6. Haz clic en Finalizar para completar la instalación.
  8. Mueve los archivos de configuración y de clave (config.json y key.json) a la carpeta Google Cloud Certificate Connector que se ha creado durante la instalación, que suele ser esta: C:\Archivos de programa\Google Cloud Certificate Connector.
  9. Inicia el servicio Google Cloud Certificate Connector:
    1. Abre Servicios de Windows.
    2. En la lista de servicios, selecciona Google Cloud Certificate Connector.
    3. Haz clic en Iniciar para iniciar el servicio. Asegúrate de que el estado cambie a En ejecución. Si ordenador se reinicia, el servicio también lo hará automáticamente.

Si más adelante descargas una clave de cuenta de servicio nueva, tendrás que reiniciar el servicio para aplicarla.

Paso 2: Añade un perfil de SCEP

El perfil de SCEP define el certificado que permite a los usuarios acceder a tu red Wi-Fi. Añade el perfil a una unidad organizativa para asignarlo a usuarios específicos. Puedes configurar varios perfiles de SCEP para gestionar el acceso por unidad organizativa y tipo de dispositivo.

Antes de empezar: para aplicar la configuración solo a determinados usuarios, coloca sus cuentas en una unidad organizativa.
  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos . En la parte izquierda, haz clic en Redes.

    Se requiere el privilegio de administrador Configuración de dispositivos compartidos.

  3. Haz clic en Crear perfil de SCEP.
  4. Si quieres aplicar la configuración a todos los usuarios, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
  5. Haz clic en Añadir perfil de SCEP seguro.
  6. Introduce la información de configuración del perfil. Si tu CA muestra una plantilla concreta, haz coincidir la información del perfil con la plantilla.
    • Nombre del perfil de SCEP: un nombre descriptivo para el perfil. Este nombre se muestra en la lista y en el selector de perfiles de la configuración de la red Wi-Fi.
    • Formato de nombre del sujeto: elige cómo quieres identificar al propietario del certificado. Si seleccionas Nombre completo, el nombre común del certificado será el nombre de usuario.
    • Nombre alternativo del sujeto: proporciona un nombre alternativo del sujeto. El valor predeterminado de este ajuste es Ninguno.
    • Algoritmo de firma: la función de hash que se utiliza para cifrar la clave de autorización. Solo está disponible SHA256 con RSA.
    • Uso de claves: opciones sobre cómo utilizar la clave, el cifrado de claves y la firma. Puedes seleccionar más de un ajuste.
    • Tamaño de la clave (bits): el tamaño de la clave RSA.
    • URL del servidor de SCEP: la URL del servidor de SCEP.
    • Período de validez del certificado (años): durante cuánto tiempo es válido el certificado del dispositivo. Utiliza un formato numérico.
    • Plazo de renovación (días): tiempo que falta para que el certificado del dispositivo caduque y se intente renovar.
    • Uso mejorado de claves: cómo se puede utilizar la clave. Puedes elegir más de un valor.
    • Tipo de verificación de la identidad: pedir a Google que proporcione una frase de verificación específica cuando solicite un certificado del servidor de SCEP. Para ello, selecciona Estática y escribe la frase. Si seleccionas Ninguno, el servidor no pedirá esta comprobación.
    • Nombre de la plantilla: el nombre de la plantilla utilizada por el servidor NDES.
    • Autoridad de certificación: el nombre de un certificado que has subido para utilizarlo como autoridad de certificación.
    • Tipo de red al que se aplica este perfil: el tipo de red que utiliza el perfil de SCEP.
    • Plataformas a las que se aplica este perfil: las plataformas de dispositivos que utilizan el perfil de SCEP.
  7. Haz clic en Guardar. Si has configurado una unidad organizativa secundaria, es posible que tengas la opción de Heredar o Anular la configuración de su unidad organizativa principal.

Los perfiles que añadas se muestran con su nombre y con las plataformas en las que están habilitados. En la columna Plataforma, si el perfil está habilitado para plataformas, se muestran iconos de color azul y, si no lo está, se muestran iconos de color gris. Para editar un perfil, coloca el cursor sobre la fila en la que se encuentre y haz clic en Editar .

El perfil de SCEP se distribuye automáticamente entre los usuarios de la unidad organizativa.

Paso 3: (Opcional) Configura las redes Wi‑Fi para que soliciten el perfil de SCEP

Ahora que los dispositivos móviles de los usuarios han recibido certificados del servidor de SCEP, puedes configurar las redes Wi-Fi para que soliciten la autenticación de certificados.

Sigue estos pasos para seleccionar el certificado y aplicar el perfil de SCEP a una red Wi-Fi:

  1. Añade una configuración de red Wi-FI o Ethernet o edita una que ya tengas.
  2. En la sección Acceso a la plataforma, marca la casilla Android, iOS o ambas.
  3. En la sección Detalles, define los parámetros siguientes:
    1. En Configuración de seguridad, selecciona WPA/WPA2 Enterprise (802.1 X) o Dynamic WEP (802.1 X).
    2. En Protocolo de autenticación extensible, selecciona EAP-TLS o EAP-TTLS.
    3. En Perfil de SCEP, selecciona el perfil de SCEP que quieres aplicar a esta red.
  4. Haz clic en Guardar.

Cuando los usuarios intenten conectarse a la red Wi-Fi por primera vez, su dispositivo deberá proporcionar el certificado.

  • En el caso de Android, el certificado correspondiente a su perfil de SCEP y a la red se completa automáticamente y el usuario solo debe hacer clic en Conectar.
  • En iOS, el usuario debe elegir el certificado que quiera utilizar y, a continuación, hacer clic en Conectar.

Cómo funciona la autenticación de certificados a través de Google Cloud Certificate Connector

Google Cloud Certificate Connector es un servicio de Windows que proporciona una conexión exclusiva entre un servidor de SCEP y Google. El conector de certificados se configura y queda protegido con un archivo de configuración y uno de clave exclusivos de tu organización.

Puedes asignar certificados de dispositivos a los usuarios que tengan perfiles de SCEP. Para hacerlo, selecciona una unidad organizativa y añádele el perfil que quieras. El perfil incluye la autoridad de certificación que emite los certificados de dispositivos. Cuando un usuario registra su dispositivo para gestionarlo, la gestión de puntos de conexión de Google obtiene el perfil de SCEP del usuario e instala el certificado en el dispositivo. Si el dispositivo ya está registrado, el certificado se instala como parte de un ciclo de sincronización normal.

Cuando un usuario intenta conectarse a tu red, se le pide que proporcione el certificado. En los dispositivos Android, el certificado se selecciona automáticamente y el usuario solo debe hacer clic en Conectar. En los dispositivos iOS, el usuario debe seleccionar el certificado manualmente y conectarse. El dispositivo accede a la red de tu organización mediante una clave negociada por Google a través del conector de certificados. Google almacena temporalmente la clave durante la negociación de seguridad, pero la elimina definitivamente una vez que está instalada en el dispositivo o después de 24 horas.

Problemas conocidos

  • Los certificados no se pueden revocar después de instalarlos en un dispositivo.
  • Los perfiles de SCEP no admiten verificaciones dinámicas.
  • Los perfiles de SCEP no se pueden aplicar a configuraciones de VPN o Ethernet.
  • No se admiten las cadenas de certificados que sean más largas que el certificado de identidad del certificado de CA, como el del certificado intermedio del certificado de CA.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?