Configurar certificados en dispositivos móviles y Chrome OS gestionados

Dispositivos móviles: 

Dispositivos Chrome OS: se necesita Chrome Enterprise EN certificados basados en dispositivos.

Puedes controlar el acceso de los usuarios a las redes Wi-Fi, las aplicaciones internas y los sitios web internos de tu organización a través de dispositivos móviles y Chrome OS mediante la distribución de certificados desde la autoridad de certificación local. Google Cloud Certificate Connector es un servicio de Windows que distribuye de forma segura certificados y claves de autenticación desde tu servidor del Protocolo de inscripción de certificados simple (SCEP) a los dispositivos móviles y dispositivos Chrome OS de los usuarios. Más información

En los dispositivos Chrome OS, puedes configurar certificados basados en usuarios o en dispositivos. Un certificado de usuario se añade a un dispositivo para un usuario concreto y solo ese usuario puede acceder a él. En cambio, un certificado de dispositivo se asigna a un dispositivo concreto y cualquier usuario que inicie sesión en ese dispositivo puede acceder a él. Para obtener más información, consulta el artículo Gestionar certificados de cliente en dispositivos Chrome.

Si quieres controlar el acceso a la red Wi‐Fi en dispositivos móviles y Chrome OS, deberás configurar perfiles de SCEP y redes Wi‐Fi independientes, ya que los dispositivos móviles y los dispositivos Chrome OS admiten diferentes tipos de claves RSA.

Notas sobre el almacenamiento de claves:

  • En el caso de los dispositivos móviles, las claves privadas de los certificados se generan en los servidores de Google. Las claves se purgan de los servidores de Google una vez que el certificado está instalado en el dispositivo o después de 24 horas (lo que ocurra antes).
  • En el caso de los dispositivos Chrome OS, las claves privadas de los certificados se generan en el propio dispositivo. La clave pública correspondiente se almacena temporalmente en los servidores de Google y se purga una vez que se ha instalado el certificado.

Requisitos del sistema

  • Tu organización debe usar el servicio de certificados de Microsoft Active Directory en un servidor SCEP y distribuir certificados mediante el Servicio de inscripción de dispositivos de red (NDES) de Microsoft.
  • Dispositivos móviles: dispositivos iOS y Android con gestión avanzada de dispositivos móviles. Más información sobre los requisitos de los dispositivos
  • Dispositivos Chrome OS:
    • Certificados de dispositivo: Chrome OS 89 o versiones posteriores y gestionados con Chrome Enterprise
    • Certificados de usuario: Chrome OS 86 o versiones posteriores. Nota: En las versiones anteriores a la 87, los usuarios deben reiniciar el dispositivo o esperar un par de horas hasta que el certificado de usuario se implemente.

Antes de empezar

  • Si necesitas el nombre del sujeto del certificado para utilizar los nombres de usuario de Active Directory, debes sincronizar Active Directory y el directorio de Google con Google Cloud Directory Sync (GCDS). Si hace falta, configura GCDS.
  • Si aún no has subido un certificado AC en la consola de administración de Google, añade un certificado.
  • Consulta los problemas conocidos para evitar comportamientos inesperados.

Problemas conocidos

  • Los certificados no se pueden revocar después de instalarlos en un dispositivo.
  • Los perfiles de SCEP no admiten verificaciones dinámicas.
  • La herencia de perfiles de SCEP entre unidades organizativas puede fallar en algunos casos. Por ejemplo, si configuras un perfil de SCEP en una unidad organizativa y cambias el perfil de SCEP de una unidad organizativa secundaria, la unidad organizativa secundaria no puede volver a heredar ninguno de los perfiles de SCEP de la unidad organizativa superior.
  • En los dispositivos móviles, los perfiles de SCEP no se pueden aplicar a configuraciones de VPN o Ethernet, solo a redes Wi‐Fi.
  • En los dispositivos Chrome OS, los perfiles de SCEP no se pueden aplicar directamente a configuraciones de VPN o Ethernet. Para aplicar de forma indirecta un perfil de SCEP a configuraciones de VPN o Ethernet, usa los patrones de emisor o sujeto para seleccionar automáticamente el certificado que quieras utilizar.
  • En los dispositivos Chrome OS, los certificados solo se pueden implementar para los usuarios que han iniciado sesión en un dispositivo gestionado. El usuario y el dispositivo deben pertenecer al mismo dominio.

Paso 1: Descarga Google Cloud Certificate Connector

En el servidor de SCEP o en un ordenador con Windows que tenga una cuenta que pueda iniciar sesión como servicio en el servidor de SCEP, sigue los pasos que se indican más abajo. Ten las credenciales de la cuenta a mano.

Si tu organización tiene varios servidores, puedes usar el mismo agente del conector de certificados en todos ellos. Descarga e instala el archivo de instalación, el archivo de configuración y el archivo de clave en un ordenador, tal como se describe en los pasos descritos más abajo. A continuación, copia esos tres archivos en el otro ordenador y sigue las instrucciones de configuración en ese ordenador.

Nota: Descarga Google Cloud Certificate Connector y sus componentes solo la vez que configures los certificados para tu organización. Los certificados y los perfiles de SCEP pueden compartir un único conector de certificados.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoRedes.
  3. Haz clic en SCEP seguro y luego Descargar conector.
  4. En la sección Google Cloud Certificate Connector, haz clic en Descargar. Se descargará una carpeta en el escritorio que contendrá el conector de certificados. Te recomendamos que descargues los demás archivos de configuración del conector en esta carpeta.
  5. En la sección de descarga del archivo de configuración del conector, haz clic en Descargar. Se descargará el archivo config.json.
  6. En la sección Obtener una clave para la cuenta de servicio, haz clic en Generar clave. Se descargará el archivo key.json.
  7. Ejecuta el instalador del conector de certificados.
    1. En el asistente de instalación, haz clic en Siguiente.
    2. Acepta los términos del acuerdo de licencia y haz clic en Siguiente.
    3. Selecciona la cuenta en la que se debe instalar el servicio y haz clic en Siguiente. Esa cuenta debe tener privilegios para iniciar sesión como servicio en el servidor SCEP.
    4. Selecciona dónde instalar el conector. Te recomendamos que utilices la ubicación predeterminada. Haz clic en Siguiente.
    5. Introduce las credenciales de tu cuenta de servicio y haz clic en Siguiente. El servicio se instalará.
    6. Haz clic en Finalizar para completar la instalación.
  8. Mueve los archivos de configuración y de clave (config.json y key.json) a la carpeta Google Cloud Certificate Connector que se ha creado durante la instalación, que suele estar en esta ruta: C:\Archivos de programa\Google Cloud Certificate Connector.
  9. Inicia el servicio Google Cloud Certificate Connector:
    1. Abre Servicios de Windows.
    2. En la lista de servicios, selecciona Google Cloud Certificate Connector.
    3. Haz clic en Iniciar para iniciar el servicio. Asegúrate de que el estado cambie a En ejecución. Si ordenador se reinicia, el servicio también lo hará automáticamente.

Si más adelante descargas una clave de cuenta de servicio nueva, tendrás que reiniciar el servicio para aplicarla.

Paso 2: Añade un perfil de SCEP

El perfil de SCEP define el certificado que permite a los usuarios acceder a tu red Wi-Fi. Añade el perfil a una unidad organizativa para asignarlo a usuarios específicos. Puedes configurar varios perfiles de SCEP para gestionar el acceso por unidad organizativa y tipo de dispositivo.

Antes de empezar: para aplicar la configuración solo a determinados usuarios, coloca sus cuentas en una unidad organizativa.
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoRedes.
  3. Haz clic en Crear perfil de SCEP.
  4. Si quieres aplicar la configuración a todos los usuarios, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria. Nota: Debido a un problema conocido, te recomendamos que configures el perfil de SCEP en cada unidad organizativa a la que quieras que se aplique el perfil.
  5. Haz clic en Añadir perfil de SCEP seguro.
  6. Introduce la información de configuración del perfil. Si tu CA muestra una plantilla concreta, haz coincidir la información del perfil con la plantilla.
    • Nombre del perfil de SCEP: un nombre descriptivo para el perfil. Este nombre se muestra en la lista y en el selector de perfiles de la configuración de la red Wi-Fi.
    • Formato de nombre del sujeto: elige cómo quieres identificar al propietario del certificado. Si seleccionas Nombre completo, el nombre común del certificado será el nombre de usuario.
    • Nombre alternativo del sujeto: proporciona un nombre alternativo del sujeto. El valor predeterminado de este ajuste es Ninguno.

      En los dispositivos Chrome OS, puedes definir nombres alternativos de sujeto en función de los atributos de usuario y de dispositivo. Para utilizar una solicitud de firma de certificado personalizada, configura la plantilla de certificado en la autoridad de certificación para que espere y genere un certificado con los valores de sujeto definidos en la propia solicitud. Como mínimo, tienes que proporcionar un valor CommonName del sujeto.

      Puedes utilizar los siguientes marcadores de posición. Todos los valores son opcionales.

      • ${DEVICE_DIRECTORY_ID}: el ID de directorio del dispositivo
      • ${USER_EMAIL}: la dirección de correo del usuario que ha iniciado sesión
      • ${USER_EMAIL_DOMAIN}: nombre del dominio del usuario que ha iniciado sesión
      • ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo
      • ${DEVICE_ASSET_ID}: el ID de recurso asignado al dispositivo por el administrador
      • ${DEVICE_ANNOTATED_LOCATION}: la ubicación asignada al dispositivo por el administrador
      • ${USER_EMAIL_NAME}: la primera parte (delante del signo @) de la dirección de correo electrónico del usuario que ha iniciado sesión

      Si un valor de marcador de posición no está disponible, se sustituirá por una cadena vacía.

    • Algoritmo de firma: la función de hash que se utiliza para cifrar la clave de autorización. Solo está disponible SHA256 con RSA.
    • Uso de claves: opciones sobre cómo utilizar la clave, el cifrado de claves y la firma. Puedes seleccionar más de un ajuste.
    • Tamaño de la clave (bits): el tamaño de la clave RSA. En dispositivos Chrome OS, selecciona 2048.
    • URL del servidor de SCEP: la URL del servidor de SCEP.
    • Periodo de validez del certificado (años): durante cuánto tiempo es válido el certificado del dispositivo. Utiliza un formato numérico.
    • Plazo de renovación (días): tiempo que falta para que el certificado del dispositivo caduque y se intente renovar.
    • Uso mejorado de claves: cómo se puede utilizar la clave. Puedes elegir más de un valor.
    • Tipo de verificación de la identidad: pedir a Google que proporcione una frase de verificación específica cuando solicite un certificado del servidor de SCEP. Para ello, selecciona Estática y escribe la frase. Si seleccionas Ninguno, el servidor no pedirá esta comprobación.
    • Nombre de la plantilla: el nombre de la plantilla utilizada por el servidor NDES.
    • Autoridad de certificación: el nombre de un certificado que has subido para utilizarlo como autoridad de certificación.
    • Tipo de red al que se aplica este perfil: indica el tipo de red que utiliza el perfil de SCEP.
    • Plataformas a las que se aplica este perfil: las plataformas de dispositivos que utilizan el perfil de SCEP. En el caso de los dispositivos Chrome OS, marca la casilla Chromebook (usuario), Chromebook (dispositivo) o ambas, en función del tipo de certificado que quieras implementar.
  7. Haz clic en Guardar. Si has configurado una unidad organizativa secundaria, es posible que tengas la opción de heredar o anular la configuración de su unidad organizativa superior.

Los perfiles que añadas se muestran con su nombre y con las plataformas en las que están habilitados. En la columna Plataforma se muestra un icono azul si el perfil está habilitado y un icono gris si no lo está. Para editar un perfil, coloca el cursor sobre la fila en la que se encuentre y haz clic en Editar .

El perfil de SCEP se distribuye automáticamente entre los usuarios de la unidad organizativa.

Paso 3: Configura el almacén de claves de Google Cloud Certificate Connector

Si tu certificado lo emite una autoridad de certificación de confianza o la URL de tu servidor SCEP empieza por HTTP, sáltate este paso.

Si el certificado no lo ha emitido una autoridad de certificación de confianza (por ejemplo, si es un certificado autofirmado), debes importarlo al almacén de claves de Google Cloud Certificate Connector. De lo contrario, el certificado del dispositivo no se podrá aprovisionar y el dispositivo no se podrá conectar.

  1. Inicia sesión en tu autoridad de certificación.
  2. Si todavía no tienes instalado Java Runtime Environment, instálalo para poder usar keytool.exe.
  3. Abre el símbolo del sistema.
  4. Exporta tu certificado AC y conviértelo a un archivo PEM ejecutando los siguientes comandos: 
    certutil ‐ca.cert C:\root.cer
certutil ‐encode cacert.cer cacert.pem
  5. Importa el certificado AC al almacén de claves. Desde el subdirectorio de la carpeta Google Cloud Certificate Connector creada durante la instalación, que suele ser C:\Archivos de programa\Google Cloud Certificate Connector, ejecuta el siguiente comando:

    java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

    Reemplaza java‐home‐dir con la ruta al JRE de la carpeta Google Cloud Certificate Connector y cert‐export‐dir con la ruta al certificado que has exportado en el paso 4.

Paso 4: Configura las redes Wi‑Fi de modo que soliciten el perfil de SCEP (opcional)

Una vez que los dispositivos móviles o Chrome OS de los usuarios reciban certificados del servidor SCEP, podrás configurar las redes Wi‐Fi de forma que soliciten la autenticación de certificados.

Para controlar el acceso a la red Wi-Fi tanto en dispositivos móviles como en dispositivos Chrome OS, configura redes Wi-Fi independientes para cada dispositivo. Por ejemplo, puedes configurar una red Wi‐Fi para dispositivos móviles y asignarle un perfil de SCEP y configurar otra red Wi-Fi para dispositivos Chrome OS y asignarle otro perfil.

Para seleccionar el certificado y aplicar el perfil de SCEP a una red Wi‑Fi, sigue estos pasos:

  1. Añade una configuración de red Wi-FI o edita una que ya tengas.
  2. En la sección Acceso a la plataforma, marca la casilla Android, iOS o ambas.
  3. En la sección Detalles, define los parámetros siguientes:
    1. En Configuración de seguridad, selecciona WPA/WPA2 Enterprise (802.1 X) o Dynamic WEP (802.1 X).
    2. En Protocolo de autenticación extensible, selecciona EAP-TLS o EAP-TTLS.
    3. En Perfil de SCEP, selecciona el perfil de SCEP que quieres aplicar a esta red.
  4. Haz clic en Guardar.

Cuando los usuarios intenten conectarse a la red Wi‑Fi por primera vez, su dispositivo deberá proporcionar el certificado.

  • En los dispositivos Android y Chrome OS, el certificado correspondiente a su perfil de SCEP y a la red se selecciona automáticamente y los usuarios solo tienen que hacer clic en Conectar.
  • En los dispositivos iOS, los usuarios deben elegir el certificado que quieran utilizar y, a continuación, hacer clic en Conectar.

Cómo funciona la autenticación de certificados a través de Google Cloud Certificate Connector

Google Cloud Certificate Connector es un servicio de Windows que proporciona una conexión exclusiva entre un servidor de SCEP y Google. El conector de certificados se configura y queda protegido con un archivo de configuración y uno de clave exclusivos de tu organización.

Los certificados de dispositivo se asignan a dispositivos y usuarios mediante perfiles de SCEP. Para asignar un perfil, se elige una unidad organizativa y se le añade el perfil en cuestión. El perfil incluye la autoridad de certificación que emite los certificados de dispositivos. Cuando un usuario registra su dispositivo móvil o Chrome OS para gestionarlo, la gestión de puntos finales de Google obtiene el perfil de SCEP del usuario e instala el certificado en el dispositivo. En los dispositivos Chrome OS, se instala un certificado de dispositivo antes de que el usuario inicie sesión, mientras que el certificado de usuario se instala después de que el usuario inicie sesión. Si el dispositivo ya está registrado, el certificado se instala como parte de un ciclo de sincronización normal.

Cuando un usuario intenta conectarse a tu red, se le pide que proporcione el certificado. En los dispositivos Android, el certificado se selecciona automáticamente y el usuario solo debe hacer clic en Conectar. En los dispositivos iOS, el usuario debe seleccionar el certificado manualmente y conectarse. El dispositivo accede a la red de tu organización mediante una clave negociada por Google a través del conector de certificados. Google almacena temporalmente la clave durante la negociación de seguridad, pero la elimina definitivamente una vez que está instalada en el dispositivo o después de 24 horas.


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
7107987758712136535
true
Buscar en el Centro de ayuda
true
true
true
false
false