circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Deinstallation

Wie Sie SCEPman deinstallieren, hängt davon ab, ob nur eine SCEPman-Instanz in Ihrem Mandanten vorhanden ist und ob die SCEPman-Instanz produktiv genutzt wurde oder nicht, z. B. als PoC. Wenn produktive Zertifikate ausgestellt wurden, müssen Sie planen, ob Sie die Nutzung dieser SCEPman-Instanz schrittweise auslaufen lassen und einige Teile von SCEPman für eine gewisse Zeit weiterlaufen lassen möchten oder ob Sie eine harte Abschaltung vornehmen wollen.

Wenn Sie mehrere SCEPman-Installationen in einem Mandanten haben und nur einige davon deinstallieren möchten, müssen Sie darauf achten, die von den aktiven Instanzen genutzten Komponenten beizubehalten. Dies gilt insbesondere für die App-Registrierungen, die standardmäßig von allen Instanzen gemeinsam genutzt werden.

Dieser Leitfaden ist nicht für Situationen gedacht, in denen Sie eine geo-redundante Umgebung haben und SCEPman behalten, aber eine Instanz für eine bestimmte Region entfernen möchten. Bitte kontaktieren Sie in diesem Fall unseren Support, falls Sie Fragen haben.

hashtag
Intune/Jamf/Andere Konfigurationsprofile

Für alle Plattformen, auf denen Sie SCEPman verwendet haben, werden Sie vermutlich Konfigurationsprofile für

  • die Verteilung der SCEPman-Root-CA,

  • die Registrierung von Clientzertifikaten über SCEP und

  • WiFi- oder VPN-Profile, die dieses Clientzertifikat verwenden, haben.

Jeder Profiltyp in der obigen Liste hängt von den vorhergehenden ab. Daher sollten Sie sie von unten nach oben löschen, damit keine offenen Abhängigkeiten bestehen bleiben.

Beachten Sie, dass Intune die registrierten Zertifikate auf dem Client entfernt, sobald Sie die SCEP-Registrierungsprofile entfernen,arrow-up-rightsodass es kein sanftes Auslaufen der Zertifikatnutzung gibt, sondern einen harten Schnitt.

hashtag
Azure-Ressourcen

In vielen Fällen gibt es eine einzige dedizierte Azure-Ressourcengruppe für alle SCEPman-bezogenen Ressourcen. Daher können Sie einfach die gesamte Ressourcengruppe löschen, um alle SCEPman-Ressourcen zu entfernen. Im Fall einer geo-redundanten SCEPman-Installationkann es zusätzliche Ressourcengruppen für die zusätzlichen App Services und App Service-Pläne geben. In diesem Fall haben Sie außerdem irgendwo einen Traffic Manager.

Um die Ressourcengruppen zu löschen, kann es erforderlich sein, Delete Locks aus dem Azure Key Vault und/oder dem Storage-Konto zu entfernen. Es gibt Fälle, in denen das Löschen der gesamten Ressourcengruppe aufgrund von Abhängigkeiten zwischen Ressourcen nicht funktioniert. In diesem Fall empfehlen wir, die Ressourcen einzeln in folgender Reihenfolge zu löschen:

  1. App Insights

  2. App Services

  3. Dieser Abschnitt behandelt Fragen, die beim Definieren von Cyberabwehr-Richtlinien für Ihre Azure-Umgebung oder beim Arbeiten mit Best-Practice-Frameworks wie dem

  4. Key Vault

  5. App Service Plan

  6. die Ressourcengruppe selbst

SCEPman konfiguriert Soft-Deletearrow-up-right und Purge Protection standardmäßig für 90 Tage für seinen Azure Key Vault. Daher ist der von SCEPman verwendete CA-Schlüssel selbst dann für den konfigurierten Zeitraum wiederherstellbar, wenn Sie die gesamte Ressourcengruppe löschen. Danach ist der CA-Schlüssel verschwunden und kann nicht wiederhergestellt werden. Das bedeutet, dass es keine Möglichkeit gibt, diese SCEPman-Instanz wiederherzustellen, und da keine Instanz vorhanden ist, um gültige OCSP-Antworten zu erstellen, gelten alle ausgestellten Zertifikate zwangsläufig als ungültig.

Das Löschen des Storage-Kontos führt zum Verlust von Informationen über manuell erstellte SCEPman Certificate Master-Zertifikate, insbesondere Widerrufsinformationen. Da das Löschen Ihrer SCEPman-Instanzen die ausgestellten Zertifikate aufgrund der fehlenden OCSP-Antworten ohnehin ungültig macht, muss dies jedoch möglicherweise kein Problem darstellen.

Ihr Storage-Konto könnte auch SCEPman-Logdateien enthalten. Wenn Sie diese behalten möchten, belassen Sie entweder das Storage-Konto und löschen nur die anderen Azure-Ressourcen oder kopieren Sie die Logdateien an einen anderen Ort, bevor Sie das Storage-Konto löschen.

hashtag
benutzerdefinierte Domain

Möglicherweise haben Sie eine benutzerdefinierte Domain für SCEPman wie scepman.contoso.de registriert. Entfernen Sie diesen Eintrag aus dem DNS, um deutlich zu machen, dass er für keinen Dienst mehr benötigt wird.

hashtag
App-Registrierungen

SCEPman und SCEPman Certificate Master verwenden jeweils eine App-Registrierung. Standardmäßig teilen sich alle SCEPman-Instanzen in einem Mandanten diese beiden App-Registrierungen, löschen Sie diese also nur, wenn dies die einzige SCEPman-Instanz in Ihrem Mandanten ist – außer wenn Sie die optionalen AzureADAppNameForSCEPman und AzureADAppNameForCertMaster Parameter im SCEPman-PowerShell-Modul verwendet haben, damit Ihre anderen SCEPman-Instanzen unterschiedliche App-Registrierungen verwenden.

Die Standardnamen der App-Registrierungen sind SCEPman-api und SCEPman-CertMaster. Sie können sie finden und löschen, indem Sie zu App-Registrierungen im Azure-Portalarrow-up-rightnavigieren. Wechseln Sie zu „Alle Anwendungen“, um nach ihnen zu suchen.

Zuletzt aktualisiert

War das hilfreich?