Allgemein

Wie füge ich einen Lizenzschlüssel hinzu?

Um eine Community Edition auf eine Enterprise Edition zu aktualisieren, müssen Sie den Lizenzschlüssel in den App-Einstellungen hinzufügen. Wie das funktioniert, wird im folgenden Kapitel erklärt:

Navigieren zu App Services.
Wählen Sie dann Ihre SCEPman-App aus.
Als Nächstes unter Einstellungen klicken Sie Umgebungsvariablen.
Wählen Sie AppConfig:LicenseKey.
Unter Wert, geben Sie Ihren Lizenzschlüssel ein.

Anschließend Speichern Sie die Einstellungen, und unter Übersicht, starten Sie Ihren App Service neu.
Stellen Sie sicher, dass Ihre SCEPman-Startseite jetzt die Enterprise-Edition-Blase anzeigt und dass alle Dienste Verbunden sind. Bei Verbindungsproblemen wird die Blase rot sein und Ihr OCSP-Responder funktioniert nicht.
Passen Sie Certificate Master RBAC Berechtigungen an, um Zugriff auf Ihren Certificate Master zu erhalten.

Wie kann man programmatisch die Storage Account-Tabelle abfragen?

Für einige Anwendungsfälle kann es notwendig sein, die Storage Account-Tabelle direkt abzufragen. Dies kann manuell mit dem Azure Storage Explorer oder programmatisch mit der Azure Storage Rest API. Weisen Sie dem Konto, das Sie verwenden, die Rolle Storage Table Data Reader zu. Hier ein Beispiel für eine Abfrage, die alle Zertifikate im Storage Account zurückgibt, die in den nächsten 30 Tagen ablaufen:

$SCEPManStorageAccountName = "stgscepmanabc"  # Tragen Sie hier den Namen Ihres SCEPman-Storage-Accounts ein
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Finden Sie alle Zertifikate, die vor diesem Datum ablaufen
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # und                   die nach diesem Datum ablaufen

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs

Die Azure CLI muss auf dem Rechner installiert sein, auf dem die Abfrage ausgeführt wird, und es muss bei dem richtigen Konto und der richtigen Subscription angemeldet sein. Dies ist für eine Azure Cloud Shell automatisch der Fall.

Wenn Sie einen Privaten Endpunkt für den Storage Account verwenden, müssen Sie die IP-Adresse Ihres Clients der Ausnahmeliste im Netzwerkbereich des Storage Accounts hinzufügen.

Wie kann der öffentliche Zugriff auf die SCEPman-Startseite eingeschränkt werden?

Die SCEPman-Startseite enthält keine sensiblen Informationen, und Angreifer können die verfügbaren Daten nicht für böswillige Zwecke nutzen.

Wenn Sie die Startseite jedoch vor öffentlichem Zugriff verbergen möchten, können Sie dies mit der Einstellung AppConfig:AnonymousHomePageAccess

Stellen Sie bitte sicher, dass Sie den SCEPman App Service nach dem Hinzufügen der Einstellung neu starten.

Wie ändert man das Subject der SCEPman Root CA?

Durch Ändern des CA-Subjects müssen Sie eine neue Root CA ausstellen und sie an alle Benutzer verteilen UND alle Client-/Gerätezertifikate erneut bereitstellen. Die alten Zertifikate sind dann nicht mehr gültig.

Wenn Sie damit kein Problem haben, folgen Sie bitte den untenstehenden Schritten, um das CA-Subject zu ändern

Navigieren Sie zu Ihrer SCEPman App Service-Konfiguration
Ändern Sie den CN-Wert der Einstellung AppConfig:KeyVaultConfig:RootCertificateConfig:Subject auf den neuen Subject-Namen, den Sie möchten
Es wird auch empfohlen, den Wert der Einstellung AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName auf den neuen Subject-Namen zu ändern, dies ist jedoch nur in Azure Key Vault sichtbar und nicht auf dem Zertifikat selbst.

Der Name erscheint nicht im Zertifikat selbst und ist nur eine Referenz auf das CA-Zertifikat innerhalb des Azure Key Vault. Da er Teil der URL ist, gibt es Namensbeschränkungen, wie Begrenzungen auf alphanumerische Zeichen, Zahlen und Bindestriche. Leerzeichen sind nicht erlaubt

Nachdem Sie beide Werte geändert haben, speichern Sie und starten Sie den App Service neu
Navigieren Sie zu Ihrer SCEPman-Startseite und stellen Sie eine neue Root CA wie beschrieben aus Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info
Laden Sie die neue Root CA herunter und laden Sie sie in Ihr Profil hoch, dann stellen Sie die Client-Zertifikate erneut bereit, um das neue Subject zu erhalten

Wie kann man SCEP-Zertifikate in Intune anzeigen?

Um in Intune ausgestellte SCEPman-Zertifikate anzuzeigen, navigieren Sie zu Zertifikaten im Intune-Überwachungsmodul:

Intune > Geräte > Überwachen > Zertifikate

Dort finden Sie eine Liste aller ausgestellten Zertifikate mit Details wie Gerätename, Benutzername, Fingerabdruck, Seriennummer, Subject-Name, Ausstellungsdatum, Ablaufdatum und Zertifikatsstatus.

Für eine umfassendere Ansicht der Zertifikate zusammen mit zusätzlichen Aktionen prüfen Sie die Zertifikate im Certificate Master.

Wie lange ist die SCEPman Root CA gültig? Kann sie verlängert/erneuert werden?

Die SCEPman Root CA hat eine Gültigkeit von 10 Jahren. Nach Ablauf muss SCEPman neu bereitgestellt werden und es gibt derzeit keine Methode, die Ablaufzeit über 10 Jahre hinaus zu verlängern oder die bestehende Root CA zu erneuern. Eine Neu-Bereitstellung hat den Vorteil, dass die neue Root CA den zum jeweiligen Zeitpunkt relevanten Sicherheitsstandards (Schlüssellänge, Algorithmen usw.) entspricht.

Zuletzt aktualisiert vor 9 Monaten

War das hilfreich?

Gute Nacht

hashtagWie füge ich einen Lizenzschlüssel hinzu?

hashtagWie kann man programmatisch die Storage Account-Tabelle abfragen?

hashtagWie kann der öffentliche Zugriff auf die SCEPman-Startseite eingeschränkt werden?

hashtagWie ändert man das Subject der SCEPman Root CA?

hashtagWie kann man SCEP-Zertifikate in Intune anzeigen?

hashtagWie lange ist die SCEPman Root CA gültig? Kann sie verlängert/erneuert werden?