Allgemein

Wie füge ich einen Lizenzschlüssel hinzu?

Um eine Community Edition auf eine Enterprise Edition zu aktualisieren, müssen Sie den Lizenzschlüssel in den App-Einstellungen hinzufügen. Wie das funktioniert, wird im folgenden Kapitel erklärt:

Navigieren Sie zu App-Dienste.
Wählen Sie dann Ihre SCEPman-App aus.
Als Nächstes unter Einstellungen klicken Sie auf Umgebungsvariablen.
Wählen Sie AppConfig:LicenseKey.
Unter Wertgeben Sie Ihren Lizenzschlüssel ein.

Dann speichern Sie die Einstellungen, und unter Übersicht starten Sie Ihre App Service neu.
Stellen Sie sicher, dass auf Ihrer SCEPman-Homepage jetzt die Enterprise-Edition-Blase angezeigt wird und dass alle Dienste Connected sind. Bei Verbindungsproblemen wird die Blase rot sein, und Ihr OCSP-Responder funktioniert nicht.
Passen Sie Certificate Master RBAC Berechtigungen an, um Zugriff auf Ihren Certificate Master zu erhalten.

Wie fragt man die Storage Account-Tabelle programmgesteuert ab?

Für einige Anwendungsfälle kann es erforderlich sein, die Storage Account-Tabelle direkt abzufragen. Dies kann manuell mit dem Azure Storage Explorer oder programmgesteuert mit der Azure Storage Rest APIerfolgen. Weisen Sie dem Storage Table Data Reader die Rolle für das Konto zu, das Sie verwenden. Hier ist ein Beispiel für eine Abfrage, die alle Zertifikate im Storage Account zurückgibt, deren Ablauf in den nächsten 30 Tagen liegt:

$SCEPManStorageAccountName = "stgscepmanabc"  # Geben Sie hier den Namen Ihres SCEPman Storage Accounts ein
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Alle Zertifikate finden, die vor diesem Datum ablaufen
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # und                   nach diesem Datum ablaufen

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs

Die Azure CLI muss auf dem Rechner installiert sein, auf dem die Abfrage ausgeführt wird, und sie muss beim richtigen Konto und Abonnement angemeldet sein. Bei einer Azure Cloud Shell ist dies automatisch der Fall.

Wenn Sie einen Private Endpoint für den Storage Account verwenden, müssen Sie die IP-Adresse Ihres Clients zur Ausnahmeliste im Netzwerk-Bereich des Storage Accounts hinzufügen.

Wie beschränkt man den öffentlichen Zugriff auf die SCEPman-Homepage?

Die SCEPman-Homepage enthält keine sensiblen Informationen, und Angreifer können die verfügbaren Daten nicht für schädliche Zwecke nutzen.

Wenn Sie die Homepage jedoch vor öffentlichem Zugriff verbergen möchten, können Sie dies mit der Einstellung AppConfig:AnonymousHomePageAccess

Bitte stellen Sie sicher, dass Sie den SCEPman App Service nach dem Hinzufügen der Einstellung neu starten.

Wie ändert man den Subject der SCEPman Root CA?

Durch die Änderung des CA-Subjects müssen Sie eine neue Root CA ausstellen und an alle Benutzer bereitstellen UND alle Client-/Gerätezertifikate erneut bereitstellen. Die alten Zertifikate sind dann nicht mehr gültig.

Wenn Sie damit kein Problem haben, befolgen Sie bitte die folgenden Schritte, um den CA-Subject zu ändern

Navigieren Sie zur Konfiguration Ihres SCEPman App Service
Ändern Sie den CN-Wert der Einstellung AppConfig:KeyVaultConfig:RootCertificateConfig:Subject auf den neuen Subject-Namen, den Sie wünschen
Es wird außerdem empfohlen, den Wert der Einstellung zu ändern AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName auf den neuen Subject-Namen; dies ist jedoch nur in Azure KeyVault sichtbar und nicht auf dem Zertifikat selbst.

Der Name erscheint nicht im Zertifikat selbst und ist nur eine Referenz auf das CA-Zertifikat innerhalb von Azure Key Vault. Da er Teil der URL ist, gelten Namensbeschränkungen, etwa Einschränkungen auf alphanumerische Zeichen, Zahlen und Bindestriche. Leerzeichen sind nicht erlaubt

Nachdem Sie beide Werte geändert haben, speichern Sie und starten Sie den App Service neu
Navigieren Sie zu Ihrer SCEPman-Homepage und stellen Sie wie beschrieben eine neue Root CA aus hier
Laden Sie die neue Root CA herunter und laden Sie sie in Ihr Profil hoch, und stellen Sie dann die Clientzertifikate erneut bereit, um den neuen Subject zu erhalten

Wie zeigt man SCEP-Zertifikate in Intune an?

Um von SCEPman ausgestellte Zertifikate in Intune anzuzeigen, navigieren Sie im Intune-Monitor-Modul zu Zertifikate:

Intune > Geräte > Überwachen > Zertifikate

Dort finden Sie eine Liste aller ausgestellten Zertifikate mit Details wie Gerätename, Benutzername, Fingerabdruck, Seriennummer, Subject-Name, Ausstellungsdatum, Ablaufdatum und Zertifikatsstatus.

Für eine umfassendere Ansicht der Zertifikate zusammen mit zusätzlichen Aktionen überprüfen Sie die Zertifikate in Certificate Master.

Wann läuft die SCEPman Root CA ab? Kann sie verlängert/erneuert werden?

Die SCEPman Root CA hat eine Laufzeit von 10 Jahren. Nach Ablauf muss SCEPman erneut bereitgestellt werden, und derzeit gibt es keine Möglichkeit, die Laufzeit über 10 Jahre hinaus zu verlängern oder die vorhandene Root CA zu erneuern. Eine erneute Bereitstellung hat den Vorteil, dass die neue Root CA den Sicherheitsstandards (Schlüsselgröße, Algorithmen usw.) entspricht, die für diesen Zeitpunkt in der Zukunft relevant sind.

Zuletzt aktualisiert vor 11 Monaten

War das hilfreich?

Guten Tag

hashtagWie füge ich einen Lizenzschlüssel hinzu?

hashtagWie fragt man die Storage Account-Tabelle programmgesteuert ab?

hashtagWie beschränkt man den öffentlichen Zugriff auf die SCEPman-Homepage?

hashtagWie ändert man den Subject der SCEPman Root CA?

hashtagWie zeigt man SCEP-Zertifikate in Intune an?

hashtagWann läuft die SCEPman Root CA ab? Kann sie verlängert/erneuert werden?