Configuración de MVE para la administración automática de certificados

Haga clic en , en la esquina superior derecha de la página.

Haga clic en Autoridad de certificación > Utilizar el servidor de la autoridad de certificación.

Nota:  El botón Utilizar el servidor de la autoridad de certificación solo aparecerá cuando configure la autoridad de certificación por primera vez o cuando elimine el certificado.

Configure los puntos finales del servidor.

• Servidor de la CA: es el servidor de la autoridad de certificación (CA) que genera los certificados de la impresora. Seleccione una de las siguientes opciones:
• CA de OpenXPKI
• CA de Microsoft Enterprise

Nota:  El usuario también puede configurar un servidor de la CA compatible con el protocolo Enrollment over Secure Transport (EST).

• El servidor de la CA debe implementar el protocolo EST tal como se define en RFC 7030.

Nota:  Cualquier desviación de la especificación puede dar lugar a una configuración no válida.

• EST es el protocolo recomendado para conectarse al servidor de la CA de OpenXPKI.

Nota:  El servidor de Microsoft Enterprise no es compatible con el protocolo EST.

• Dirección del servidor de la CA: es la dirección IP o el nombre de host del servidor de la CA. Este campo solo se aplica a los protocolos SCEP y EST.

Nota:  Introduzca una de las siguientes opciones:

• Para el servidor MSCA (mediante SCEP): <dirección IP del servidor o nombre de host>/certsrv/mssep/mssep.dll
• Para el servidor OpenXPKI (mediante SCEP): <dirección IP del servidor o nombre de host>/scep/scep
• Para EST, escriba cualquiera de las siguientes opciones:
• https://172.87.95.240
• https://estserver.com
• estserver.com
• Etiqueta de servidor de la CA (opcional): si el usuario crea un nuevo dominio, se debe usar el mismo nombre de dominio en este campo.
• Dirección del servidor del CEP: este campo solo se aplica al protocolo MSCEWS.

Nota:  Introduzca una de las siguientes opciones:

• Autenticación de nombre de usuario y contraseña: https://democep.com/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
• Para autenticación integrada de Windows: https://democep.com/ADPolicyProvider_CEP_Kerberos/service.svc/CEP
• Para autenticación de certificado de cliente: https://democep.com/ADPolicyProvider_CEP_Certificate/service.svc/CEP
• Nombre de host del servidor de la CA: es el nombre de host del servidor de la CA.

Nota:  Por ejemplo, para el protocolo MSCEWS, el usuario puede seleccionar democa.lexmark.com

• Nombre de host del servidor del CES: es la dirección IP o el nombre de host del servidor del CES.

Nota:  Por ejemplo, para el protocolo MSCEWS, el usuario puede seleccionar democes.lexmark.com

• Contraseña de comprobación: es la contraseña necesaria para confirmar la identidad de MVE en el servidor de la CA. Esta contraseña sólo es necesaria para la CA OpenXPKI. No es compatible con la CA de Microsoft Enterprise.

Nota:  En función del servidor de la CA, debe configurar el modo de autenticación del servidor. Para ello, realice una de las siguientes acciones:

• Si selecciona el protocolo EST, en el menú Modo de autenticación del servidor de la CA, seleccione una de las siguientes opciones:
• Autenticación de nombre de usuario y contraseña
• Autenticación de certificado de cliente
• Si selecciona el protocolo MSCEWS, en el menú Modo de autenticación del servidor de la CA, seleccione una de las siguientes opciones:
• Autenticación de nombre de usuario y contraseña
• Autenticación de certificado de cliente
• Autenticación integrada de Windows
• El protocolo SCEP solo admite el modo de autenticación Contraseña de comprobación.

Nota:  Dependiendo del servidor de la CA, consulte cualquiera de las secciones:

• Administración de certificados mediante la autoridad certificadora de OpenXPKI a través de SCEP
• Administración de certificados mediante la autoridad certificadora de Microsoft a través de SCEP
• Administración de certificados mediante la autoridad certificadora de Microsoft a través de MSCEWS
• Administración de certificados mediante la autoridad certificadora de OpenXPKI a través de EST

Haga clic en Guardar cambios y validar > Aceptar.

Notas:

• La opción Descartar cambios solo funciona si los cambios aún no se han guardado o se han guardado y validado.
• El usuario no puede recuperar datos de una configuración no válida porque MVE no almacena el último estado válido de ninguna configuración. MVE solo almacena una configuración de certificado individual a la vez, que puede ser o no válida.

Notas:

• Debe validarse la conexión entre MVE y los servidores de la CA. Durante la validación, MVE se comunica con el servidor de la CA para descargar la cadena de certificados y la lista de revocación de certificados (CRL). También se genera el certificado de agente de inscripción o el certificado de prueba. Este certificado permite al servidor de la CA confiar en MVE.
• Puede seleccionar una o varias plantillas CEP cuando utilice el protocolo MSCEWS. Haga lo siguiente:

1. Después de hacer clic en Guardar cambios y validar, aparece la ventana Selección de plantilla CEP.



2. Seleccione una o más de las plantillas disponibles.

   • El cuadro de diálogo Utilizar el servidor de la autoridad certificadora recupera la lista de revocaciones de certificados.
   • Un cuadro de diálogo confirma que la validación del certificado se ha realizado correctamente.


3. Puede ver las plantillas del CEP seleccionadas en la página de configuración del servidor de la CA.

Nota:  Cuando aplica esta configuración a cualquier dispositivo, se crea un certificado según la plantilla seleccionada.

Vuelva a la página Configuración del sistema y, a continuación, revise el certificado CA.

Nota:  También puede descargar o eliminar el certificado CA.