Unternehmensbereitstellung

Die Bereitstellung von SCEPman 2.x unterscheidet sich von einer SCEPman 1.x-Bereitstellung. Wenn Sie eine neue SCEPman 2.x-Instanz installieren oder Ihre vorhandene 1.x-Instanz aktualisieren möchten, lesen Sie weiter.

Neue SCEPman 2.0-Instanz

Azure-Ressourcen bereitstellen

Melden Sie sich mit einem AAD-Administrator-Konto an und besuchen Sie diese Seite, wählen Sie einen der folgenden Bereitstellungslinks und klicken Sie darauf:

• Produktivkanal

• Beta-Kanal

• Interner Kanal

• Produktivkanal in der nationalen GCC High-Cloud

• Produktivkanal in der nationalen 21Vianet-Cloud (Experimentell!)

Füllen Sie die Werte im Formular aus

• Abonnement: Wählen Sie Ihr Abonnement aus, in dem Sie Berechtigungen zur Erstellung von App Services, Storage-Konten, App Service-Plänen und Key Vaults haben

• Ressourcengruppe: Wählen Sie eine vorhandene Ressourcengruppe oder erstellen Sie eine neue. Die SCEPman-Ressourcen werden in dieser Ressourcengruppe bereitgestellt

• Region: Wählen Sie die Region entsprechend Ihrem Standort

• Org-Name: Name Ihres Unternehmens oder Ihrer Organisation für den Betreffnamen des CA-Zertifikats (O RDN)

• Lizenz: lassen Sie es auf "trial", um eine Community Edition bereitzustellen, oder fügen Sie Ihren Lizenzschlüssel für die Enterprise Edition von SCEPman ein.

• CA-Schlüsseltyp:

  • RSA-HSM (empfohlen, HSM-gestützte Root-CA)

  • RSA (software-gestützte Root-CA)

• Für den Speicherkontonamen, beachten Sie bitte, dass der Name muss dazwischen 3 und 24 Zeichen lang sein und darf nur Zahlen und Kleinbuchstaben enthalten

• Definieren Sie einen global einzigartigen Namen für das Key Vault-Name, App Service Plan-Name, Primärer App Service-Name, Log Analytics-Arbeitsbereichsname, Certificate Master App Service-Name, Name des virtuellen Netzwerks, Privater Endpunkt für Key Vault-Name und Privater Endpunkt für Table Storage. Ersetzen Sie UNIQUENAME durch einen Wert, der auf den Namen Ihrer Organisation hinweist.

• Bestehende App Service Plan-ID: Geben Sie die App Service Plan-ID eines bestehenden App Service Plans an oder belassen Sie den Standardwert 'none', wenn Sie einen neuen erstellen möchten

Um Ihre vorhandene App Service Plan-ID zu finden: navigieren Sie zu Ihrem vorhandenen App Service Plan > JSON-Ansicht > kopieren Sie die Ressourcen-ID (siehe Screenshots)

• Auf Linux bereitstellen:

  • true (stellt SCEPman auf einem Linux App Service Plan bereit)

  • false (stellt auf einem Windows App Service Plan bereit)

• Privates Netzwerk bereitstellen:

  • true (empfohlen, isoliert den Key Vault und das Storage-Konto hinter privaten Endpunkten, so dass nur SCEPman aus netzwerktechnischer Sicht darauf zugreifen kann)

  • false (Key Vault und Storage-Konto können von jeder IP-Adresse aus erreicht werden)

• Standort: aller Ressourcen, der Standardwert [resourceGroup().location] ist eine Empfehlung von Microsoft, Sie können ihn einfach so belassen

• Überprüfen + erstellen, dann Erstellen

Nach einer erfolgreichen Bereitstellung von SCEPman 2.x befolgen Sie bitte den Managed Identities Artikel

Upgrade von 1.x auf 2.x

SCEPman 2.0 umfasst zwei zusätzliche Azure-Ressourcen, ein Azure Storage-Konto und einen App Service namens "Cert Master". Diese werden verwendet, um Serverzertifikate auszustellen und zu verwalten. Sie können SCEPman 2.0 jedoch auch ohne diese ausführen, wenn Sie weiterhin nur Clientzertifikate wie zuvor verwenden.

Wenn Sie noch SCEPman 1.x ausführen, stellen Sie sicher, dass Ihre Instanz 2.x-Anwendungsartefakte wie hier beschrieben verwendet: Anwendungsartefakte.

Bitte starten Sie anschließend Ihren App Service neu.

SCEPman Cert Master hinzufügen

Wenn Sie die neue SCEPman Cert Master-Komponente zum Ausstellen von Serverzertifikaten verwenden möchten, müssen Sie die zusätzlichen Azure-Ressourcen hinzufügen und konfigurieren. Dies ermöglicht die Authentifizierung als Managed Identity; ein Vorteil davon ist, dass keine Anwendungsschlüssel mehr erforderlich sind. Sie müssen sich also auch nicht mehr um das Ablaufdatum von Anwendungsschlüsseln kümmern! So gehen Sie vor:

Nach dem Upgrade der Hauptkomponente müssen Sie der Anleitung zu Post-Installations-Konfigurationfolgen. Im Gegensatz zu einer Neuinstallation werden dabei auch die beiden neuen Azure-Ressourcen erstellt.

Downgrade von 2.x auf 1.x

Sie können auf jede ältere SCEPman-Version downgraden, indem Sie die älteren Artefakte herunterladen, sie an Ihrem Ort hosten, z. B. im Azure Blob Storage, und dann die Binärdateien über die WEBSITE_RUN_FROM_PACKAGE Einstellung referenzieren.

Wenn Sie jedoch auch das SCEPman PowerShell-Modul verwendet haben, um die interne Verdrahtung zu aktualisieren, gibt es eine Einschränkung: 2.x unterstützt eine andere Art der Authentifizierung gegenüber Graph und Intune mittels Managed Identities, die auch die neue Standardeinstellung ist und vom Skript aktiviert wird. Wenn Sie Ihre Hauptkomponente downgraden, kann sie die neue Authentifizierungsart nicht verwenden und es fehlt eine Einstellung für die alte Methode, sodass sie nicht mehr funktioniert. Daher müssen Sie nach einem Downgrade die Anwendungseinstellungen manuell ändern AppConfig:AuthConfig:ApplicationId und AppConfig:AuthConfig:ApplicationKey. Das Skript erstellt Sicherungskopien der Einstellungen, indem es das Präfix Backup:verwendet. Daher müssen Sie Backup:AppConfig:AuthConfig:ApplicationKey wieder umbenennen in AppConfig:AuthConfig:ApplicationKey und den alten Wert aus Backup:AppConfig:AuthConfig:ApplicationId kopieren nach AppConfig:AuthConfig:ApplicationId. Dann arbeitet die 1.x-Version wieder mit der auf App-Registrierungen basierenden Authentifizierung.