Erweiterter Leitfaden

SCEPman-Basisdienste bereitstellen

Treffen Sie Ihre Entscheidung, ob Sie mit einem Windows- oder Linux- App Service Plan bereitstellen möchten. Beide Bereitstellungsmethoden ermöglichen Ihnen die Auswahl Ihres Betriebssystems.

Um mit der Bereitstellung zu beginnen, müssen Sie unseren Einrichtungsanweisungen folgen und dabei ein ARM-Template

oder alternativ unser Terraform- Skript verwenden:

Post-Deployment-Schritte ausführen (Berechtigungszuweisungen)

Um alle Komponenten von SCEPman korrekt zu verknüpfen, müssen mehrere Berechtigungen zugewiesen werden. Bitte befolgen Sie diese Schritte, um die relevanten Verbindungen herzustellen:

Berechtigungen für den Certificate Master hinzufügen

Der Certificate Master ist eine Enterprise Edition- Funktion, die Administratoren das manuelle Erstellen und Widerrufen von Zertifikaten ermöglicht. Bitte befolgen Sie diese Schritte, um Zugriff auf den Certificate Master zu gewähren.

Root-Zertifikat erstellen

Nach Abschluss der Bereitstellung und der Berechtigungszuweisung müssen Sie das Root-Zertifikat für SCEPman erstellen:

Benutzerdefinierte Domäne und SSL-Zertifikat konfigurieren

Damit SCEPman unter Ihrer spezifischen Domäne verfügbar ist, müssen Sie eine benutzerdefinierte Domäne im App Service anlegen.

Manuelle Updates

Standardmäßig verfolgt SCEPman einen Evergreen-Ansatz für Updates. Falls Sie die volle Kontrolle über Ihre SCEPman-Updates benötigen, konfigurieren Sie bitte einen Deployment-Slot wie im folgenden Leitfaden im Abschnitt Konfiguration des Deployment-Slots.

Application Insights bereitstellen

Application Insights kann verwendet werden, um einen Überblick über die Leistung des App Service zu erhalten und tiefere Einblicke in die Anforderungsverarbeitung von SCEPman zu gewinnen. Wir empfehlen, Application Insights immer zu konfigurieren, um den App Service zu überwachen, zu warten und zu optimieren.

Health Check konfigurieren

Health Checks können so konfiguriert werden, dass Administratoren benachrichtigt werden, falls der SCEPman App Service nicht reagiert.

Stellen Sie sicher, dass SCEPman über ausreichende Ressourcen verfügt

Sobald Sie SCEPman in eine Produktionsumgebung überführen, sollten Sie sicherstellen, dass SCEPman mit ausreichender Rechenleistung ausgestattet ist. Prüfen Sie daher bitte unseren Azure-Sizing-Leitfaden und erhöhen Sie bei Bedarf die Stufe Ihres App Service Plans. Sie können dies bis nach Ihrer PoC- oder Testphase verschieben.

Autoscaling konfigurieren

Die SCEPman-Lösung hat zwei verschiedene Aufgaben und Leistungsanforderungen. Die eine Aufgabe ist der Zertifikatsausstellungsprozess: Nach der Konfiguration der SCEPman-Lösung müssen wir Zertifikate an alle Geräte ausstellen (Benutzer- und/oder Gerätezertifikate), aber das ist eine einmalige Aufgabe und nach der ersten Bereitstellung geschieht dies nur noch, wenn ein neues Gerät angemeldet wird oder die Zertifikate erneuert werden müssen. In diesen Situationen wird SCEPman eine Spitze an SCEP-Anfragen erleben.

Die zweite Aufgabe ist die Zertifikatsvalidierung: Nachdem wir Zertifikate an Geräte ausgestellt haben, müssen diese Zertifikate jedes Mal validiert werden, wenn wir sie verwenden. Bei jeder zertifikatsbasierten Authentifizierung senden die Clients, Gateways oder das RADIUS-System (je nachdem, was Sie verwenden) eine OCSP-Anfrage an den SCEPman App Service. Dies führt zu einer permanenten Anfragelast auf dem App Service.

Um eine optimierte Leistung und Kosteneffizienz zu erreichen, empfehlen wir, die Autoscaling-Funktionalität des App Service einzurichten. Mit dieser Funktion kann Ihre Anwendung basierend auf Metriken horizontal und vertikal skaliert werden.

Geo-Redundanz konfigurieren

Die Konfiguration einer geo-redundanten Instanz für SCEPman kann die Verfügbarkeit und Ausfallsicherheit des Dienstes erhöhen, indem Arbeitslasten auf mehrere Azure-Regionen verteilt werden.

Allerdings ist zu beachten, dass dieses Setup aufgrund der zusätzlichen Ressourcen und der beteiligten Datenreplikation zu höheren Azure-Kosten führen kann. Microsoft bietet für Azure App Services ein SLA von 99,95 %, was in den meisten Szenarien ausreichend ist.

Ihre MDM-Bereitstellungsprofile konfigurieren

Mit Abschluss der oben genannten Schritte haben wir eine funktionierende SCEPman-Implementierung und können nun Zertifikate auf die Geräte ausrollen.

Bitte verwenden Sie einen (oder mehrere) der folgenden Artikel, um Zertifikate mit Ihrer bevorzugten MDM-Lösung bereitzustellen:

Zertifikate manuell ausstellen oder CSRs mit dem Certificate Master signieren

Bitte folgen Sie dem unten stehenden Link, um zu erfahren, wie Sie TLS-Serverzertifikate auf Basis einer Liste von FQDNs ausstellen oder beliebige CSRs mit der Certificate-Master-Komponente signieren.

Zertifikate über die Enrollment-REST-API ausstellen

SCEPman bietet eine REST-API zur Zertifikatsanmeldung. Dies ist eine Alternative zu den SCEP-Endpunkten, die die SCEP-Authentifizierung erfordern, während die REST-API Microsoft-Identitäten zur Authentifizierung verwendet. Das Protokoll ist außerdem wesentlich einfacher als SCEP.

Sperren auf SCEPman-Azure-Ressourcen erstellen

Standardmäßig wendet SCEPman keine Sperren auf Azure-Ressourcen an. Wenn Sie Ressourcensperren verwenden und diese konfigurieren möchten, zeigt die folgende Liste, welche Sperrtypen auf welche SCEPman-Ressource angewendet werden können.

• Key Vault: Soft Delete und Purge Protection bieten bereits Schutz vor versehentlichem Löschen. SCEPman verändert die Ressource nach der Erstellung des CA-Schlüssels nicht mehr, daher ist eine ReadOnlyLock technisch möglich.

• Storage Account: Nur eine DeleteLock ist möglich, da SCEPman Zertifikatsinformationen in die Tabelle schreiben muss. Wenn ein Storage Account versehentlich gelöscht wird, verlieren Sie Informationen über bereits ausgestellte Zertifikate.

• App Services: Eine ReadOnlyLock ist theoretisch möglich, muss jedoch jedes Mal entfernt werden, wenn Sie die SCEPman-Konfiguration ändern. Ein gelöschter App Service kann problemlos neu installiert werden, hat dann aber nur die Standardkonfiguration, sodass alle manuellen Änderungen erneut manuell konfiguriert werden müssen. Eine Kombination aus DeleteLock und ReadOnlyLock hilft, dieses Risiko zu mindern.

• Log Analytics Workspace: Eine DeleteLock ist technisch möglich, aber Sie würden nur Protokolle verlieren, die während des Aufbewahrungszeitraums gesammelt wurden, was die Verfügbarkeit des SCEPman-Dienstes nicht beeinträchtigt.

• Andere Azure-Ressourcen: Diese speichern keine Daten und können ohne Informationsverlust neu erstellt werden. Eine DeleteLock und ReadOnlyLock kann für einige von ihnen nützlich sein. Einige können überhaupt nicht gelöscht werden, da sie Abhängigkeiten zu einem der oben genannten Kerndienste haben.