circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Erweiterte Anleitung

circle-exclamation

Nur SCEPman Enterprise Edition

Dies führt Sie durch alle Schritte zur Bereitstellung von SCEPman für eine unternehmensgerechte Umgebung mit erweiterten Anforderungen, z. B. Namenskonventionen, Redundanz oder Auto-Scaling.

hashtag
Azure-Bereitstellung

Beginnen wir mit den Anforderungen und einer Ressourcenübersicht. Beachten Sie, dass Sie ein sinnvolles Azure-Ressourcendesign planen müssen.

hashtag
Voraussetzungen

hashtag
Obligatorisch

hashtag
Optional

hashtag
Übersicht Azure-Ressourcen

All diese Ressourcen werden für eine Produktionsumgebung empfohlen.

Geben Sie
Beschreibung

App Service (x2)

Eine virtuelle Azure-Umgebung zum Ausführen der SCEPman Core- und Cert Master-Anwendungen und bietet eine Benutzeroberfläche zur Konfiguration verschiedener anwendungsspezifischer Einstellungen wie CNAME, SSL-Zertifikat und App-Einstellungen.

App Service-Plan

Ein virtuelles Set von Rechenressourcen und Konfigurationen für die "App Service(s)".

Hier können Sie die Preisklasse und die Skalierung der Ressourcen konfigurieren.

Key Vault

Tool zum sicheren Speichern von Geheimnissen und Zertifikaten. Die SCEPman-Anwendung

wird das Stammzertifikat generieren und in Ihrem Key Vault speichern.

Application Insights

Application Performance Management (APM)-Tool, um Einblicke in die

SCEPman-Anwendungen und -Anfragen zu erhalten. Notwendig, um die Leistung zu messen

und nützlich zur Service-Optimierung.

Speicherkonto

Speicherplattform, die von der Certificate Master-Komponente von SCEPman verwendet wird, um bestimmte Attribute der manuell ausgestellten TLS-Serverzertifikate für Widerrufszwecke zu speichern. Optional:

Der "App Service" lädt die Artefakte von einer Blob-Storage-URI, wenn manuelle Updates konfiguriert sind.

Log Analytics-Arbeitsbereich

Eine zentralisierte und cloudbasierte Protokollspeicherung. Der "App Service" wird alle

Plattformprotokolle und Metriken in diesem Arbeitsbereich speichern.

Data Collection Rule

Seit Version 3.0, um SCEPman das Schreiben von Protokollen in den Log Analytics-Arbeitsbereich mithilfe der Microsoft Log Ingestion API zu ermöglichen

Zusätzlich, wenn Sie Private Endpoints verwenden, haben Sie sieben weitere Azure-Ressourcen.

Geben Sie
Beschreibung

Virtuelles Netzwerk

Die SCEPman App Services, das Key Vault und das Storage-Konto verbinden sich über dieses VNET.

Privater Endpunkt (×2)

Einer für das Key Vault und einer für das Storage-Konto. Er macht sie über das VNET zugänglich.

Private DNS-Zone (×2)

Eine für das Key Vault und eine für das Storage-Konto. Beide haben eine interne IP-Adresse im VNET, für die sie einen Namen in ihrer jeweiligen privaten DNS-Zone haben.

Netzwerkschnittstelle (×2)

Eine für das Key Vault und eine für das Storage-Konto. Sie verbindet den privaten Endpunkt mit dem VNET.

hashtag
Konfigurationsschritte

1

hashtag
Bereitstellen der SCEPman-Basisdienste

circle-exclamation

Dies ist ein verpflichtender Schritt.

Treffen Sie Ihre Wahl, ob Sie mit einem Windows oder Linux App Service Plan bereitstellen möchten. Beide Bereitstellungsarten erlauben Ihnen, Ihr Betriebssystem zu wählen.

Um mit der Bereitstellung zu beginnen, müssen Sie unseren Einrichtungshinweisen folgen und ein ARM-Template

Enterprise-Bereitstellungchevron-right

oder alternativ unser Terraform- Skript:

Terraform-Bereitstellungchevron-right

2

hashtag
Führen Sie Nachbereitungs-Schritte durch (Berechtigungszuweisungen)

circle-exclamation

Dies ist ein verpflichtender Schritt.

Um alle Komponenten von SCEPman ordnungsgemäß zu verknüpfen, müssen mehrere Berechtigungen zugewiesen werden. Bitte folgen Sie diesen Schritten, um die relevanten Verbindungen herzustellen:

Verwaltete Identitätenchevron-right

3

hashtag
Zertifikat-Master-Berechtigungen hinzufügen

circle-check

Dies ist ein verpflichtender Schritt für Enterprise Edition Kunden. Community Edition Benutzer können diesen Schritt überspringen.

Der Certificate Master ist ein Certificate Master ermöglicht Feature, das Administratoren erlaubt, Zertifikate manuell zu erstellen und zu widerrufen. Bitte folgen Sie diesen Schritten, um Zugriff auf den Certificate Master zu gewähren.

RBAC für Zertifikats-Masterchevron-right

4

hashtag
Root-Zertifikat erstellen

circle-exclamation

Dies ist ein verpflichtender Schritt.

Nachdem die Bereitstellung und die Berechtigungszuweisung abgeschlossen sind, müssen Sie das Root-Zertifikat für SCEPman erstellen:

Root-CAchevron-right

5

hashtag
Konfigurieren einer benutzerdefinierten Domain und eines SSL-Zertifikats

circle-check

Dies ist ein empfohlen Schritt. Allerdings überspringen Sie diesen Schritt, wenn Sie Geo-Redundanz / Hochverfügbarkeit implementieren.

Um Ihren SCEPman unter Ihrer spezifischen Domain verfügbar zu machen, müssen Sie eine benutzerdefinierte Domain im App Service

Benutzerdefinierte Domainchevron-right

6

hashtag
manuelle Updates

circle-info

Dies ist ein optional Schritt.

Standardmäßig verfolgt SCEPman einen evergreen-Ansatz gegenüber Updates. Falls Sie die vollständige Kontrolle über Ihre SCEPman-Updates benötigen, konfigurieren Sie bitte einen Bereitstellungs-Slot wie in der folgenden Anleitung unter dem Abschnitt beschrieben Bereitstellungs-Slot-Konfiguration.

Update-Strategiechevron-right

7

hashtag
Application Insights bereitstellen

circle-check

Dies ist empfohlen Schritt.

Application Insights kann verwendet werden, um einen Überblick über die Leistung des App Service zu erhalten und tiefere Einblicke in die Anfrageverarbeitung von SCEPman zu gewinnen. Wir empfehlen, Application Insights stets zu konfigurieren, um den App Service zu überwachen, zu warten und zu optimieren.

Application Insightschevron-right

8

hashtag
Health Check konfigurieren

circle-check

Dies ist empfohlen Schritt.

Health Checks können konfiguriert werden, um Administratoren zu benachrichtigen, falls der SCEPman App Service nicht reagiert.

Gesundheitsprüfungchevron-right

9

hashtag
Stellen Sie sicher, dass SCEPman über ausreichende Ressourcen verfügt

circle-exclamation

Dies ist ein verpflichtender Schritt.

Sobald Sie SCEPman in eine Produktionsumgebung überführen, sollten Sie sicherstellen, dass SCEPman mit ausreichender Rechenleistung ausgestattet ist. Prüfen Sie daher bitte unseren Azure-Sizing-Leitfaden und erhöhen Sie bei Bedarf die Stufe Ihres App Service-Plans. Sie können dies bis nach Ihrer PoC- oder Testphase verschieben.

App-Service-Größenplanungchevron-right

10

hashtag
Autoscaling konfigurieren

circle-info

Dies ist ein optional Schritt.

Die SCEPman-Lösung hat zwei verschiedene Aufgaben und Leistungsanforderungen. Eine Aufgabe ist der Zertifikatsaustellungsprozess: Nach der Konfiguration der SCEPman-Lösung müssen wir Zertifikate an alle Geräte ausrollen (Benutzer- und/oder Gerätezertifikate), dies ist jedoch eine einmalige Aufgabe und nach der Initialbereitstellung tritt dies nur auf, wenn ein neues Gerät registriert wird oder die Zertifikate erneuert werden müssen. In diesen Situationen wird SCEPman einen Höhepunkt an SCEP-Anfragen erleben.

Die zweite Aufgabe ist die Zertifikatsvalidierung: Nachdem wir Zertifikate auf Geräten bereitgestellt haben, müssen diese Zertifikate jedes Mal validiert werden, wenn sie verwendet werden. Für jede zertifikatbasierte Authentifizierung senden die Clients, Gateways oder das RADIUS-System (je nach Verwendung) eine OCSP-Anfrage an den SCEPman App Service. Dies führt zu einer dauerhaften Anfragebelastung des App Service.

Um eine optimierte Leistung zu erzielen und die Kosten im Blick zu behalten, empfehlen wir, die Auto-Scaling-Funktionalität des App Service einzurichten. Mit dieser Funktion kann Ihre Anwendung basierend auf Metriken nach außen und innen skalieren.

Autoscalingchevron-right

11

hashtag
Geo-Redundanz konfigurieren

circle-info

Dies ist ein optional Schritt.

Die Konfiguration einer geo-redundanten Instanz für SCEPman kann die Verfügbarkeit und Resilienz des Dienstes verbessern, indem Arbeitslasten über mehrere Azure-Regionen verteilt werden.

Es ist jedoch wichtig zu beachten, dass diese Konfiguration zu erhöhten Azure-Kosten führen kann, aufgrund der zusätzlichen Ressourcen und der Datenreplikation. Microsoft bietet ein SLA von 99,95 % für Azure App Services, was in den meisten Szenarien ausreichend ist.

Geo-Redundanzchevron-right

12

hashtag
Konfigurieren Sie Ihre MDM-Bereitstellungsprofile

circle-check

Dies ist ein empfohlen Schritt.

Mit Abschluss der obigen Schritte haben wir eine funktionierende SCEPman-Implementierung und können nun Zertifikate auf die Geräte bereitstellen.

Bitte verwenden Sie einen (oder mehrere) der folgenden Artikel, um Zertifikate mit Ihrer bevorzugten MDM-Lösung bereitzustellen:

Microsoft Intunechevron-rightJamf Prochevron-rightAndere MDM-Lösungenchevron-right

13

hashtag
Zertifikate manuell ausstellen oder CSRs mit dem Certificate Master signieren

circle-info

Dies ist ein optional Schritt.

Bitte folgen Sie dem untenstehenden Link, um zu erfahren, wie Sie TLS-Serverzertifikate basierend auf einer Liste von FQDNs ausstellen oder jede CSR mit der Certificate Master-Komponente signieren können.

Zertifikats-Masterchevron-right

14

hashtag
Zertifikate mit der Enrollment REST API ausstellen

circle-info

Dies ist ein optional Schritt.

SCEPman verfügt über eine REST-API zur Ausstellung von Zertifikaten. Dies ist eine Alternative zu den SCEP-Endpunkten, die die SCEP-artige Authentifizierung erfordern, während die REST-API Microsoft-Identitäten für die Authentifizierung verwendet. Das Protokoll ist zudem wesentlich einfacher als SCEP.

Enrollment-REST-APIchevron-right

Zuletzt aktualisiert

War das hilfreich?