Standardanleitung
Dies führt Sie durch alle notwendigen Schritte, um SCEPman in Ihrer PoC- oder Produktionsumgebung gemäß unseren Best Practices einzurichten.
Azure-Bereitstellung
Beginnen wir mit den Anforderungen und einer Ressourcenübersicht. Beachten Sie, dass Sie ein sinnvolles Azure-Ressourcendesign planen müssen.
Voraussetzungen
Obligatorisch
Optional
Übersicht Azure-Ressourcen
All diese Ressourcen werden für eine Produktionsumgebung empfohlen.
App Service (x2)
Eine virtuelle Azure-Umgebung zum Ausführen der SCEPman Core- und Cert Master-Anwendungen und stellt eine Benutzeroberfläche zur Verfügung, um verschiedene anwendungsspezifische Einstellungen wie CNAME, SSL-Zertifikat und App-Einstellungen zu konfigurieren.
App Service-Plan
Eine virtuelle Gruppe von Rechenressourcen und Konfigurationen für die "App Service(s)".
Hier können Sie die Preiskategorie und die Skalierung der Ressourcen konfigurieren.
Key Vault
Tool zum sicheren Speichern von Geheimnissen und Zertifikaten. Die SCEPman-Anwendung
wird das Root-Zertifikat in Ihrem Key Vault erzeugen und speichern.
Application Insights
Application Performance Management (APM)-Tool, um Einblicke in die
SCEPman-Anwendungen und -Anfragen zu erhalten. Benötigt, um die Leistung zu messen
und gut zur Serviceoptimierung geeignet.
Speicherkonto
Speicherplattform, die von der Certificate Master-Komponente von SCEPman verwendet wird, um bestimmte Attribute manuell ausgestellter TLS-Serverzertifikate für Widerrufs-Zwecke zu speichern. Optional:
Der "App Service" lädt die Artefakte aus einer Blob-Storage-URI, wenn manuelle Updates konfiguriert sind.
Log Analytics-Arbeitsbereich
Ein zentralisierter und cloudbasierter Protokollspeicher. Der "App Service" speichert alle
Plattformprotokolle und Metriken in diesem Arbeitsbereich.
Datensammlungsregel
Seit Version 3.0, um SCEPman zu ermöglichen, Protokolle mithilfe der Microsoft Log Ingestion API in den Log Analytics-Arbeitsbereich zu schreiben
Zusätzlich, wenn Sie Private Endpoints verwenden, haben Sie sieben weitere Azure-Ressourcen.
Virtuelles Netzwerk
Die SCEPman App Services, das Key Vault und das Storage-Konto verbinden sich über dieses VNET.
Privater Endpunkt (×2)
Einer für das Key Vault und einer für das Storage-Konto. Er macht sie über das VNET zugänglich.
Private DNS-Zone (×2)
Eine für das Key Vault und eine für das Storage-Konto. Beide haben eine interne IP-Adresse im VNET, für die sie einen Namen in ihrer jeweiligen privaten DNS-Zone haben.
Netzwerkschnittstelle (×2)
Eine für das Key Vault und eine für das Storage-Konto. Sie verbindet den privaten Endpunkt mit dem VNET.
Konfigurationsschritte
Bereitstellen der SCEPman-Basisdienste
Dies ist ein verpflichtender Schritt.
Um mit der Bereitstellung zu beginnen, folgen Sie bitte unseren Bereitstellungsanweisungen:
Marketplace-BereitstellungFühren Sie Nachbereitungs-Schritte durch (Berechtigungszuweisungen)
Dies ist ein verpflichtender Schritt.
Um alle Komponenten von SCEPman 2 richtig zu verknüpfen, müssen mehrere Berechtigungen zugewiesen werden. Bitte folgen Sie diesen Schritten, um die relevanten Verbindungen herzustellen:
Verwaltete IdentitätenZertifikat-Master-Berechtigungen hinzufügen
Dies ist ein verpflichtender Schritt für Enterprise Edition Kunden. Community Edition Benutzer können diesen Schritt überspringen.
Der Certificate Master ist ein Enterprise-Edition Feature, das Administratoren erlaubt, Zertifikate manuell zu erstellen und zu widerrufen. Bitte folgen Sie diesen Schritten, um Zugriff auf den Certificate Master zu gewähren.
Certificate Master-RBACRoot-Zertifikat erstellen
Dies ist ein verpflichtender Schritt.
Nachdem die Bereitstellung und die Berechtigungszuweisung abgeschlossen sind, müssen Sie das Root-Zertifikat für SCEPman erstellen:
Root-CAKonfigurieren einer benutzerdefinierten Domain und eines SSL-Zertifikats
Um Ihren SCEPman unter Ihrer spezifischen Domain verfügbar zu machen, müssen Sie eine benutzerdefinierte Domain im App Service
Benutzerdefinierte Domainmanuelle Updates
Standardmäßig verfolgt SCEPman einen evergreen-Ansatz gegenüber Updates. Falls Sie die vollständige Kontrolle über Ihre SCEPman-Updates benötigen, konfigurieren Sie bitte einen Bereitstellungs-Slot wie in der folgenden Anleitung unter dem Abschnitt beschrieben Bereitstellungs-Slot-Konfiguration.
Update-StrategieApplication Insights bereitstellen
Dies ist empfohlen Schritt.
Application Insights kann verwendet werden, um einen Überblick über die Leistung des App Service zu erhalten und tiefere Einblicke in die Anfrageverarbeitung von SCEPman zu gewinnen. Wir empfehlen, Application Insights stets zu konfigurieren, um den App Service zu überwachen, zu warten und zu optimieren.
Application InsightsHealth Check konfigurieren
Dies ist empfohlen Schritt.
Wir können einen Health Check für den App Service konfigurieren, um direkte Benachrichtigungen zu erhalten, falls SCEPman nicht mehr funktioniert.
Health-CheckStellen Sie sicher, dass SCEPman ausreichende Ressourcen hat
Dies ist ein verpflichtender Schritt.
Sobald Sie SCEPman in eine Produktionsumgebung überführen, sollten Sie sicherstellen, dass SCEPman mit ausreichender Rechenleistung ausgestattet ist. Prüfen Sie daher bitte unseren Azure-Sizing-Leitfaden und erhöhen Sie bei Bedarf die Stufe Ihres App Service-Plans. Sie können dies bis nach Ihrer PoC- oder Testphase verschieben.
App Service-GrößenplanungKonfigurieren Sie Ihre MDM-Bereitstellungsprofile
Dies ist ein empfohlen Schritt.
Mit Abschluss der obigen Schritte haben wir eine funktionierende SCEPman-Implementierung und können nun Zertifikate auf die Geräte bereitstellen.
Bitte verwenden Sie einen (oder mehrere) der folgenden Artikel, um Zertifikate mit Ihrer bevorzugten MDM-Lösung bereitzustellen:
Microsoft IntuneJamf ProAndere MDM-LösungenZertifikate manuell ausstellen oder CSRs mit dem Certificate Master signieren
Bitte folgen Sie dem untenstehenden Link, um zu erfahren, wie man TLS-Server- oder andere Zertifikate ausstellt oder wie man beliebige CSRs mit der Certificate Master-Komponente signiert.
Certificate MasterZuletzt aktualisiert
War das hilfreich?