# Deinstallation

Wie Sie SCEPman deinstallieren, hängt davon ab, ob es in Ihrem Tenant nur eine SCEPman-Instanz gibt und ob die SCEPman-Instanz produktiv verwendet wurde oder nicht, z. B. als PoC. Wenn produktive Zertifikate ausgestellt wurden, müssen Sie planen, ob Sie den Einsatz dieser SCEPman-Instanz schrittweise auslaufen lassen und einige Teile von SCEPman noch eine Zeit lang weiterlaufen lassen möchten oder ob Sie ein hartes Abschalten durchführen wollen.

Wenn Sie mehrere SCEPman-Installationen in einem einzelnen Tenant haben und nur einige davon deinstallieren möchten, müssen Sie darauf achten, dass Sie die von den Live-Instanzen verwendeten Komponenten beibehalten. Dies gilt insbesondere für die App Registrations, die standardmäßig von allen Instanzen gemeinsam genutzt werden.

Diese Anleitung ist nicht für Situationen gedacht, in denen Sie eine [georedundante Einrichtung](https://docs.scepman.com/de/azure-konfiguration/geo-redundancy) haben und SCEPman beibehalten, aber eine Instanz für eine bestimmte Region entfernen möchten. Bitte wenden Sie sich in dieser Situation an unseren Support, wenn Sie Fragen haben.

## Intune/Jamf/Andere Konfigurationsprofile

Für alle Plattformen, auf denen Sie SCEPman verwendet haben, haben Sie wahrscheinlich Konfigurationsprofile für

* die Verteilung der SCEPman Root CA,
* die Registrierung von Clientzertifikaten über SCEP und
* WLAN- oder VPN-Profile, die dieses Clientzertifikat verwenden.

Jeder Profiltyp in der vorangehenden Liste hängt von den darüberliegenden ab. Daher sollten Sie sie von unten nach oben löschen, damit Sie keine offenen Abhängigkeiten haben.

Beachten Sie, dass [Intune die registrierten Zertifikate vom Client entfernt, sobald Sie die SCEP-Registrierungsprofile entfernen](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates), sodass es kein sanftes Auslaufen der Zertifikatsverwendung gibt, sondern einen harten Schnitt.

## Azure-Ressourcen

In vielen Fällen gibt es eine einzelne dedizierte Azure-Ressourcengruppe für alle SCEPman-bezogenen Ressourcen. Daher können Sie einfach die gesamte Ressourcengruppe löschen, um alle SCEPman-Ressourcen zu entfernen. Im Fall einer [georedundanten SCEPman-Installation](https://docs.scepman.com/de/azure-konfiguration/geo-redundancy)gibt es möglicherweise zusätzliche Ressourcengruppen für die zusätzlichen App Services und App Service-Pläne. In diesem Fall haben Sie auch irgendwo einen Traffic Manager.

Um die Ressourcengruppen zu löschen, kann es erforderlich sein, Delete Locks aus dem Azure Key Vault und/oder dem Storage Account zu entfernen. Es gibt Fälle, in denen das Löschen der gesamten Ressourcengruppe wegen der Abhängigkeiten zwischen den Ressourcen nicht funktioniert. In diesem Fall empfehlen wir, die Ressourcen in der folgenden Reihenfolge einzeln zu löschen:

1. App Insights
2. App-Dienste
3. Storage Accounts
4. Key Vault
5. App Service Plan
6. die Ressourcengruppe selbst

SCEPman konfiguriert [Soft-Delete](https://learn.microsoft.com/en-us/azure/key-vault/general/soft-delete-overview) und Purge Protection standardmäßig für 90 Tage für seinen Azure Key Vault. Daher ist der von SCEPman verwendete CA-Schlüssel selbst dann noch für den konfigurierten Zeitraum wiederherstellbar, wenn Sie die gesamte Ressourcengruppe löschen. Danach ist der CA-Schlüssel weg und Sie können ihn nicht wiederherstellen. Das bedeutet, dass es keine Möglichkeit gibt, diese SCEPman-Instanz wiederherzustellen, und da keine Instanz vorhanden ist, um gültige OCSP-Antworten zu erzeugen, gelten alle ausgestellten Zertifikate zwangsläufig als ungültig.

Das Löschen des Storage Account führt dazu, dass Informationen über manuell erstellte SCEPman Certificate Master-Zertifikate verloren gehen, insbesondere Informationen zur Sperrung. Da das Löschen Ihrer SCEPman-Instanzen ohnehin alle ausgestellten Zertifikate aufgrund der fehlgeschlagenen OCSP-Antworten ungültig macht, ist dies möglicherweise kein Problem.

Ihr Storage Account könnte außerdem [SCEPmans Protokolldateien enthalten](https://docs.scepman.com/de/azure-konfiguration/log-configuration#app-service-logs-recommended-settings). Wenn Sie diese behalten möchten, behalten Sie entweder den Storage Account und löschen nur die anderen Azure-Ressourcen oder kopieren Sie die Protokolldateien vor dem Löschen des Storage Account an einen anderen Speicherort.

## benutzerdefinierte Domäne

Möglicherweise haben Sie für SCEPman eine benutzerdefinierte Domäne wie scepman.contoso.de registriert. Entfernen Sie diesen Eintrag aus DNS, um klarzustellen, dass er für keinen Dienst mehr erforderlich ist.

## App Registrations

SCEPman und SCEPman Certificate Master verwenden jeweils eine App Registration. Standardmäßig teilen sich alle SCEPman-Instanzen in einem Tenant diese beiden App Registrations, löschen Sie sie also nur dann, wenn dies die einzige SCEPman-Instanz in Ihrem Tenant ist -- außer wenn Sie die optionalen `AzureADAppNameForSCEPman` und `AzureADAppNameForCertMaster` Parameter im SCEPman PowerShell-Modul verwendet haben, damit Ihre anderen SCEPman-Instanzen unterschiedliche App Registrations verwenden.

Die Standardnamen der App Registrations sind SCEPman-api und SCEPman-CertMaster. Sie können sie finden und löschen, indem Sie zu [App registrations im Azure Portal](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/RegisteredApps)wechseln. Wechseln Sie zu "All applications", um sie zu suchen.