Cómo gestionar certificados para sistemas iOS

Segunda parte del blog de Apple sobre dispositivos iOS y planificación del ciclo de vida de los certificados.

CSS creó el Sistema de Gestión de Certificados (CMS) -antes Herramienta de Informes de Certificados (CRT), como se menciona en este blog- hace unos años, para ayudar a las organizaciones a controlar mejor la caducidad de los certificados. A continuación se muestran ejemplos de dos arquitecturas diferentes que aprovechan CMS para ayudar con la emisión y renovación de certificados basados en iOS.

Opción 1: Estación de inscripción

Esta solución supone la necesidad de inspeccionar manualmente la configuración de seguridad de un dispositivo antes de permitirle interactuar con los datos corporativos.

Figura 1 - Inspección y expedición manuales

El flujo general sería el siguiente:

1. Una persona designada de seguridad de la empresa inspecciona la configuración del dispositivo móvil para comprobar que cumple con la política (por ejemplo, código de acceso, cifrado y/o capacidad de borrado, etc.), obtiene un "desafío" de contraseña de un solo uso SCEP del servidor SCEP.
2. Mediante la Utilidad de configuración del iPhone (iPCU), la persona encargada de la seguridad configura un perfil iOS con la información del usuario y el desafío SCEP, y configura el dispositivo del usuario.
3. Según las instrucciones del nuevo perfil, el iPad o iPhone del usuario se pone en contacto con el servidor SCEP de la empresa y solicita e instala el nuevo certificado.
4. El certificado puede utilizarse para autenticar conexiones inalámbricas, VPN o ActiveSync según sea necesario. La Herramienta de Informes de Certificados (CRT) de CSS supervisa continuamente las CA de la PKI de la empresa en busca de certificados que estén a punto de caducar.
5. En uno o dos años, cuando el certificado del usuario esté a punto de caducar, se enviará un correo electrónico al usuario (y/o a la persona de seguridad), haciéndole saber que tendrá que repetir los pasos 1 a 3.

Opción 2: Aprovechar el complemento CRT para iOS

CSS ha creado un componente adicional para la Herramienta de Información sobre Certificados que aprovecha el uso de plug-ins personalizados para agilizar el proceso de inscripción y renovación de certificados.

Figura 2 - Solución CRT iOS de CSS

El uso general es el siguiente:

1. Una persona de seguridad de la empresa designada utiliza el CRT iOS Enrollment Software para seleccionar a una persona, o grupo de personas, para su inscripción.
2. Enrollment Software se pone en contacto con el servidor SCEP para obtener el desafío de inscripción SCEP único y utiliza la funcionalidad de secuencias de comandos iPCU para crear automáticamente un perfil iOS con la información adecuada. La información relevante del usuario, como el nombre común y el nombre alternativo del sujeto, se extrae de Active Directory y se incluye en la configuración.
3. Este perfil se envía al servidor de aplicaciones web CRT iOS y se envía un correo electrónico al usuario para informarle de que el sistema está listo para registrar su dispositivo.
4. El usuario visita el sitio web de CRT iOS protegido por SSL utilizando el navegador Safari de su dispositivo y se autentica con sus credenciales de Active Directory.
5. Siguiendo las instrucciones del perfil, el dispositivo del usuario crea un par de claves RSA, se pone en contacto con el servidor SCEP de la empresa y, a continuación, solicita e instala su certificado utilizando el desafío de un solo uso.
6. El certificado puede utilizarse para autenticar conexiones inalámbricas, VPN o ActiveSync según sea necesario. La Herramienta de Informes de Certificados (CRT) de CSS supervisa continuamente las CA de la PKI de la empresa en busca de certificados que estén a punto de caducar.
7. En uno o dos años, cuando el certificado del usuario esté a punto de caducar, CRT vuelve a llamar automáticamente a CRT iOS Enrollment Software, y los pasos 2 a 5 se repiten sin necesidad de intervención administrativa.