Erweiterte Anleitung

Bereitstellung der SCEPman-Basisdienste

Treffen Sie Ihre Wahl, ob Sie mit einem Windows oder Linux App Service-Plan bereitstellen möchten. Beide Bereitstellungsmethoden erlauben Ihnen die Auswahl Ihres Betriebssystems.

Um mit der Bereitstellung zu beginnen, befolgen Sie unsere Einrichtungsanweisungen unter Verwendung eines ARM-Templates

oder alternativ unseres Terraform- Skripts:

Führen Sie Post-Deployment-Schritte (Berechtigungszuweisungen) durch

Um alle Komponenten von SCEPman korrekt zu verknüpfen, müssen mehrere Berechtigungen zugewiesen werden. Bitte folgen Sie diesen Schritten, um die relevanten Verbindungen herzustellen:

Fügen Sie Certificate Master-Berechtigungen hinzu

Der Certificate Master ist eine Enterprise Edition Funktion, die Administratoren ermöglicht, Zertifikate manuell zu erstellen und zu widerrufen. Bitte folgen Sie diesen Schritten, um Zugriff auf den Certificate Master zu gewähren.

Root-Zertifikat erstellen

Nach Abschluss der Bereitstellung und der Berechtigungszuweisungen müssen Sie das Root-Zertifikat für SCEPman erstellen:

Konfigurieren einer benutzerdefinierten Domäne und eines SSL-Zertifikats

Damit Ihr SCEPman unter Ihrer spezifischen Domain erreichbar ist, müssen Sie eine benutzerdefinierte Domäne im App Service

erstellen.

optionaler Schritt. Standardmäßig verfolgt SCEPman einen Evergreen-Ansatz.

gegenüber Updates. Falls Sie volle Kontrolle über Ihre SCEPman-Updates benötigen, konfigurieren Sie bitte einen Deployment-Slot wie im folgenden Leitfaden unter dem Abschnitt

bereitstellen von Application Insights

Dies ist

Die Application Insights kann verwendet werden, um einen Überblick über die Leistung des App Service zu erhalten und tiefere Einblicke in die Anforderungsverarbeitung von SCEPman zu bekommen. Wir empfehlen, Application Insights immer zu konfigurieren, um den App Service zu überwachen, zu warten und zu optimieren.

Health Check konfigurieren

Health Checks können konfiguriert werden, um Administratoren zu benachrichtigen, falls der SCEPman App Service nicht reagiert.

Stellen Sie sicher, dass SCEPman über ausreichende Ressourcen verfügt

Sobald Sie SCEPman in eine Produktionsumgebung überführen, sollten Sie sicherstellen, dass SCEPman über ausreichende Rechenleistung verfügt. Überprüfen Sie daher unseren Azure-Sizing-Leitfaden und aktualisieren Sie bei Bedarf das Tier Ihres App Service-Plans. Sie können dies bis nach Ihrer PoC- oder Testphase verschieben.

Autoscaling konfigurieren

Die SCEPman-Lösung hat zwei verschiedene Aufgaben und Leistungsanforderungen. Eine Aufgabe ist der Zertifikatsausstellungsprozess: Nach der Konfiguration der SCEPman-Lösung müssen wir Zertifikate an alle Geräte bereitstellen (Benutzer- und/oder Gerätezertifikate), dies ist jedoch eine einmalige Aufgabe und nach der Erstbereitstellung geschieht dies nur, wenn ein neues Gerät registriert wird oder Zertifikate erneuert werden müssen. In solchen Situationen erfährt SCEPman einen Peak an SCEP-Anfragen.

Die zweite Aufgabe ist die Zertifikatsvalidierung: Nachdem wir Zertifikate an Geräte verteilt haben, müssen diese Zertifikate bei jeder Nutzung validiert werden. Für jede zertifikatbasierte Authentifizierung senden die Clients, Gateways oder das RADIUS-System (abhängig von Ihrer Verwendung) eine OCSP-Anfrage an den SCEPman App Service. Dies verursacht eine permanente Anfragelast auf dem App Service.

Um eine optimierte Leistung zu erzielen und die Kosten im Blick zu behalten, empfehlen wir, die Autoscaling-Funktionalität des App Service einzurichten. Mit dieser Funktion kann Ihre Anwendung basierend auf Metriken skalieren (Scale-out und Scale-in).

Geo-Redundanz konfigurieren

Die Konfiguration einer geo-redundanten Instanz für SCEPman kann die Verfügbarkeit und Widerstandsfähigkeit des Dienstes verbessern, indem Arbeitslasten über mehrere Azure-Regionen verteilt werden.

Es ist jedoch wichtig zu beachten, dass diese Einrichtung zu erhöhten Azure-Kosten führen kann, aufgrund der zusätzlichen Ressourcen und Datenreplikation. Microsoft bietet eine SLA von 99,95 % für Azure App Services, die in den meisten Szenarien ausreichend ist.

Konfigurieren Sie Ihre MDM-Bereitstellungsprofile

Nach Abschluss der oben genannten Schritte haben wir eine funktionierende SCEPman-Implementierung und können nun Zertifikate auf den Geräten bereitstellen.

Bitte verwenden Sie einen (oder mehrere) der folgenden Artikel, um Zertifikate mit Ihrer bevorzugten MDM-Lösung bereitzustellen:

Zertifikate manuell ausstellen oder CSRs mit dem Certificate Master signieren

Bitte folgen Sie dem untenstehenden Link, um zu erfahren, wie Sie TLS-Serverzertifikate basierend auf einer Liste von FQDNs ausstellen oder beliebige CSR mithilfe der Certificate Master-Komponente signieren.

Zertifikate über die Enrollment REST API ausstellen

SCEPman verfügt über eine REST-API zur Registrierung von Zertifikaten. Dies ist eine Alternative zu den SCEP-Endpunkten, die die SCEP-Authentifizierung erfordern, während die REST-API Microsoft-Identitäten zur Authentifizierung verwendet. Das Protokoll ist außerdem deutlich einfacher als SCEP.

• Erstellen von Sperren (Locks) für SCEPman Azure-Ressourcen Standardmäßig wendet SCEPman keine Sperren auf Azure-Ressourcen an. Wenn Sie Ressourcensperren verwenden und diese konfigurieren möchten, beschreibt die folgende Liste, welche Sperrtypen auf jede SCEPman-Ressource angewendet werden können. Key Vault: Soft Delete und Purge Protection bieten bereits Schutz gegen versehentliche Löschung. SCEPman ändert die Ressource nach der Erstellung des CA-Schlüssels nicht mehr, daher ist ein

• ReadOnlyLock technisch möglich. Storage Account: Nur ein

• DeleteLock ist möglich, da SCEPman Zertifikatsinformationen in die Tabelle schreiben muss. Wenn ein Storage Account versehentlich gelöscht wird, gehen Informationen über bereits ausgestellte Zertifikate verloren. Key Vault: App Services: Storage Account: Ein Key Vault: ist theoretisch möglich, muss aber jedes Mal entfernt werden, wenn Sie die SCEPman-Konfiguration ändern. Ein gelöschter App Service kann leicht erneut installiert werden, hat dann jedoch nur die Standardkonfiguration, sodass alle manuellen Änderungen erneut manuell konfiguriert werden müssen. Eine Kombination aus

• und ist möglich, da SCEPman Zertifikatsinformationen in die Tabelle schreiben muss. Wenn ein Storage Account versehentlich gelöscht wird, gehen Informationen über bereits ausgestellte Zertifikate verloren. Storage Account: hilft, dieses Risiko zu mindern.

• Log Analytics Workspace: ist technisch möglich, aber Sie würden nur Protokolle verlieren, die während der Aufbewahrungszeit gesammelt wurden, was die Verfügbarkeit des SCEPman-Dienstes nicht beeinträchtigt. Storage Account: Ein Key Vault: Andere Azure-Ressourcen:‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎‎Diese speichern keine Daten und können ohne Informationsverlust neu erstellt werden. Ein