Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure Omnissa Workspace ONE for Connector para SCEP
<a name="connector-for-scep-omnissa"></a>

Puede utilizarlo AWS Private CA como entidad emisora de certificados (CA) externa con el sistema Omnissa Workspace ONE UEM (Unified Endpoint Management). Esta guía proporciona instrucciones sobre cómo configurar Omnissa Workspace ONE después de crear un conector SCEP en. AWS

## Requisitos previos
<a name="prerequisites"></a>

Antes de crear un conector SCEP para Omnissa Workspace ONE, debe cumplir los siguientes requisitos previos:
+ Cree una CA privada en la consola. AWS Para obtener más información, consulte [Cree una CA privada en AWS Private CA](create-CA.md).
+ Cree un conector SCEP de uso general. Para obtener más información, consulte [Crear un conector](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Tenga una cuenta de administrador de entorno de Omnissa Workspace ONE activa con un identificador de grupo organizativo.
+ Si va a inscribir un dispositivo Apple, configure el Servicio de notificaciones push de Apple (APNs) para MDM. Para obtener más información, consulte los [certificados de APNs](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) en la documentación de Omnissa.

## Paso 1: Defina una entidad emisora de certificados y una plantilla en Omnissa Workspace ONE
<a name="step-1-define-certificate-authority-and-template"></a>

Tras crear un conector CA y SCEP privado en la AWS consola, defina la autoridad de certificación y la plantilla en Omnissa Workspace ONE.

**Añádala AWS Private CA como entidad emisora de certificados**

1. En el menú **Sistema**, elija **Enterprise Integration** y, a continuación, elija **Autoridades de certificación**.

1. Seleccione **\+ AGREGAR** y proporcione la siguiente información:
   + **Nombre**: AWS-Private-CA.
   + **Descripción**: AWS Private CA para la emisión de certificados de dispositivos.
   + **Tipo de autoridad**: seleccione el **SCEP genérico**.
   + URL **del SCEP: Introduzca la URL** del SCEP desde. AWS Private CA
   + **Tipo de desafío****: seleccione STATIC.**
   + **Desafío estático**: introduzca la contraseña del desafío estático del SCEP desde el conector para la configuración del SCEP en la AWS consola.
   + **Introduzca los valores de tiempo de **espera de reintento y máximo de** reintentos.**

1. Guarde la configuración.

**Cree una plantilla de certificado**

1. En el menú **Sistema**, elija **Enterprise Integration**, elija **Autoridades de certificación** y, a continuación, elija **Plantillas**.

1. Seleccione **Añadir plantillas** y proporcione la siguiente información:
   + **Nombre de la plantilla**: Device-Cert-Template.
   + **Autoridad de certificación**: elija **AWS- Private-CA**.
   + **Nombre del asunto**: se trata de un campo personalizable. Puede elegir valores variables de una lista de atributos. Por ejemplo, CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute
   + **Longitud de la clave privada: 2048** bits.
   + **Tipo de clave privada**: seleccione la **firma** y el **cifrado** según sea necesario
   + **Renovación automática**: Enabled/Disabled (según sus necesidades).

1. Guarde la plantilla.

## Paso 2: Configurar un perfil de Omnissa Workspace ONE UEM
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Cree un perfil en Omnissa Workspace ONE UEM que dirija los dispositivos a Connector for SCEP para emitir un certificado.

**Cree un perfil de dispositivo SCEP para la distribución de certificados**

1. **En el menú **Recursos**, elija **Perfiles y líneas base y**, a continuación, elija Perfiles.**

1. **Seleccione **Añadir y, a continuación, Añadir** perfil**

1. Selecciona la plataforma del dispositivo (**Android**, **iOS**, **macOS**, **Windows**).

1. Defina el **tipo de administración** y **el contexto** según corresponda.

1. Establezca el **nombre**: Device-Cert-Profile.

1. Desplázate hasta **SCEP Payload**.

1. **Seleccione **SCEP** y, a continuación, elija \+Añadir.**

1. Utilice la siguiente configuración:
   + **SCEP**:
     + En **Fuente de credenciales**, seleccione **Autoridad de certificación definida** (predeterminada).
     + **Para **Autoridad de certificación**, seleccione -AWS Private-CA**
     + Para la **plantilla de certificado**, seleccione la **Device-Cert-Template**definida en el paso 1.

1. Elija **Siguiente** y, en la sección **Asignación**, seleccione el grupo inteligente correcto de la lista (grupo de asignación para el dispositivo).

1. Seleccione el **tipo de asignación** como **Automático** para activar la renovación automática.

1. Guarde y publique el perfil.

**nota**  
Para obtener más información, consulte el [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) en la documentación de Omnissa.

## Paso 3: inscriba los dispositivos en Omnissa Workspace ONE
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**Cree o verifique un grupo inteligente**

1. En **Grupos y configuraciones**, elija **Grupos** y, a continuación, elija **Grupos de tareas**.

1. Cree o edite el grupo POC-Devices inteligente:
   + **Nombre**: POC-Devices.
   + **Tipo de dispositivo**: selecciona **Todas** o una plataforma específica (Android o iOS, por ejemplo).
   + **Criterios**: uso **UserGroup**, **plataforma y sistema operativo**, **OEM y modelo** para especificar los criterios para agrupar los dispositivos de destino.
   + **Propiedad**: seleccione **cualquiera** para dispositivos personales o corporativos.

1. Guarde y verifique que los dispositivos de destino aparezcan en la pestaña **Vista previa**.

### Inscripción manual de dispositivos
<a name="manual-device-enrollment"></a>

Android  
+ Descarga la aplicación **Workspace ONE Intelligent Hub** de Google Play.
+ Abre la aplicación e introduce la URL de inscripción o escanea un código QR.
+ Inicie sesión y siga las instrucciones para inscribirse como MDM-managed dispositivo.

iOS/macOS  
+ En el dispositivo, abre **Safari** y navega hasta la URL de inscripción (https://<WorkspaceONEUEMHostname>/enroll, por ejemplo).
+ Inicie sesión con las credenciales de usuario.
+ Descargue e instale la aplicación **Workspace ONE Intelligent Hub** desde la App Store.
+ **Sigue las instrucciones para instalar el perfil MDM en **Configuración** > **General** > **Administración de dispositivos y VPN** > **Perfil** > Instalar.**

Windows  
+ Descargue **Workspace ONE Intelligent Hub** desde el servidor Workspace ONE o desde Microsoft Store.
+ Inscríbase a través del Hub mediante la URL de inscripción y las credenciales.

Asigne los dispositivos inscritos al grupo POC-Devices inteligente en **Dispositivos** > **Vista de lista** > **Más acciones** > **Asignar al grupo inteligente**.

Para obtener más información, consulte la [inscripción automática de dispositivos](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) en la documentación de Omnissa.

**Verifique la inscripción**

1. **En la consola Omnissa Workspace ONE UEM, vaya a **Dispositivos y, a continuación, a Vista** de lista.**

1. **Confirme que sus dispositivos inscritos aparezcan con el estado establecido en Inscrito.**

1. Verifica que los dispositivos estén en el grupo POC-Devices inteligente en la pestaña **Grupos** de los **detalles del dispositivo**.

## Paso 4: Emitir un certificado
<a name="step-4-certificate-issuance"></a>

**Activa la emisión de un certificado**

1. En la **vista de lista** de **dispositivos**, seleccione el dispositivo inscrito.

1. Pulse el botón de **consulta** para solicitar el registro.

1.  Device-Cert-Profile Deben emitir un certificado mediante. AWS Private CA

**Verifique la instalación del certificado**

Android  
Seleccione **Configuración**, **Seguridad**, **Credenciales de confianza** y, por último, **Usuario** para comprobar el certificado.

iOS  
Vaya a **Configuración**, seleccione **General**, **Administración de dispositivos y VPN y**, por último, **Perfil de configuración**. Compruebe que el certificado de AWS-Private-CA esté presente.

macOS  
Abra **Keychain Access** y, a continuación, **System Keychain** y verifique el certificado.

Windows  
**Abra **certmgr.msc**, luego **Personal y, por último, Certificates** para verificar el certificado.**

## Resolución de problemas
<a name="troubleshooting"></a>

Errores del SCEP (por ejemplo, «22013: el servidor SCEP devolvió una respuesta no válida»)  
+ Compruebe que la URL del SCEP y la contraseña de desafío estática en Workspace ONE coincidan. AWS Private CA
+ <SCEP\_URL>Pruebe la conectividad del punto final del SCEP: curl.
+ Compruebe AWS CloudTrail los registros para AWS Private CA ver si hay errores (`IssueCertificate`fallos, por ejemplo).

Problemas de APN () iOS/macOS  
+ Asegúrese de que el certificado de APNs sea válido y esté asignado al grupo organizativo correcto.
+ [Pruebe la conectividad de los APNs: telnet gateway.push.apple.com 2195.](http://gateway.push.apple.com/)

Fallos en la instalación del perfil  
+ Confirme que los dispositivos estén en el grupo inteligente correcto (**dispositivos**, luego **Vista de lista** y, por último, **grupos**).
+ Forzar la sincronización de un perfil: **Más acciones**, luego **Enviar** y, por último, **Lista de perfiles**.

Registros  
+ Android: usa los registros de **Logcat** o Workspace ONE.
+ iOS/macOS: log show --predicate 'process == «mdmclient"' --dura 1 hora (mediante el configurador). Xcode/Apple 
+ **Windows: Visor de **eventos**, luego Registros de aplicaciones y servicios y, por último. **Microsoft-Windows-DeviceManagement****
+ Workspace ONE UEM: **Monitor**, luego **Informes y análisis**, **Eventos** y, por último, **Eventos del dispositivo**.

Para obtener información detallada sobre el conector para la supervisión del SCEP AWS, consulte [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html) el SCEP.

## Consideraciones de seguridad
<a name="security-considerations"></a>
+ Guarde las URL y los secretos del SCEP de forma segura. [Para obtener más información, consulte el AWS Secrets Manager servicio.](https://docs.aws.amazon.com/secretsmanager/)
+ Restrinja los criterios de los grupos inteligentes únicamente a los dispositivos de destino.
+ Renueva periódicamente los certificados de notificaciones push de Apple (APN) (válidos durante 1 año).
+ Establezca períodos cortos de validez de los certificados para los proyectos de prueba de concepto a fin de minimizar el riesgo.
+ En el caso de los dispositivos personales, asegúrese de que la limpieza elimine todos los perfiles y certificados.

[Para obtener información sobre cómo configurar la integración de Omnissa Workspace ONE UEM y CA mediante un conector SCEP, consulte la documentación sobre el SCEP en Omnissa Workspace ONE.](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)