circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Deinstallation

Wie Sie SCEPman deinstallieren, hängt davon ab, ob nur eine SCEPman-Instanz in Ihrem Mandanten vorhanden ist und ob die SCEPman-Instanz produktiv genutzt wurde oder nicht, z. B. als PoC. Wenn produktive Zertifikate ausgestellt wurden, müssen Sie planen, ob Sie die Nutzung dieser SCEPman-Instanz sanft auslaufen lassen und einige Teile von SCEPman für eine gewisse Zeit weiterbetreiben möchten, oder ob Sie einen harten Abschaltvorgang durchführen möchten.

Wenn Sie mehrere SCEPman-Installationen in einem Mandanten haben und nur einige davon deinstallieren möchten, müssen Sie darauf achten, die von den aktiven Instanzen verwendeten Komponenten beizubehalten. Dies gilt insbesondere für die App-Registrierungen, die standardmäßig von allen Instanzen geteilt werden.

Diese Anleitung ist nicht für Situationen gedacht, in denen Sie eine geo-redundante Installation haben und SCEPman behalten, aber eine Instanz für eine bestimmte Region entfernen möchten. Bitte kontaktieren Sie in einem solchen Fall unseren Support, wenn Sie Fragen haben.

hashtag
Intune/Jamf/Andere Konfigurationsprofile

Für alle Plattformen, auf denen Sie SCEPman verwendet haben, besitzen Sie wahrscheinlich Konfigurationsprofile für

  • die Verteilung der SCEPman Root-CA,

  • die Einschreibung von Client-Zertifikaten über SCEP, und

  • WiFi- oder VPN-Profile, die dieses Client-Zertifikat verwenden.

Jeder Profiltyp in der obigen Liste ist von den vorhergehenden abhängig. Daher sollten Sie sie von unten nach oben löschen, damit keine offenen Abhängigkeiten bestehen bleiben.

Beachten Sie, dass Intune die eingeschriebenen Zertifikate vom Client entfernt, sobald Sie die SCEP-Einschreibungsprofile löschenarrow-up-right, sodass es kein sanftes Auslaufen der Zertifikatsnutzung gibt, sondern einen harten Schnitt.

hashtag
Azure-Ressourcen

In vielen Fällen existiert eine einzelne dedizierte Azure Resource Group für alle SCEPman-bezogenen Ressourcen. Daher können Sie die gesamte Resource Group löschen, um alle SCEPman-Ressourcen zu entfernen. Im Falle einer geo-redundanten SCEPman-Installationkönnen zusätzliche Resource Groups für die zusätzlichen App Services und App Service-Pläne vorhanden sein. In diesem Fall haben Sie außerdem irgendwo einen Traffic Manager.

Um die Resource Groups zu löschen, kann es erforderlich sein, Delete Locks aus dem Azure Key Vault und/ oder dem Storage Account zu entfernen. Es gibt Fälle, in denen das Löschen der gesamten Resource Group aufgrund von Abhängigkeiten zwischen Ressourcen nicht funktioniert. In diesem Fall empfehlen wir, die Ressourcen einzeln in der folgenden Reihenfolge zu löschen:

  1. App Insights

  2. App Services

  3. Storage Accounts

  4. Key Vault

  5. App Service Plan

  6. die Resource Group selbst

SCEPman konfiguriert Soft-Deletearrow-up-right und Purge Protection standardmäßig für 90 Tage für seinen Azure Key Vault. Daher ist der von SCEPman verwendete CA-Schlüssel selbst dann für den konfigurierten Zeitraum wiederherstellbar, wenn Sie die gesamte Resource Group löschen. Danach ist der CA-Schlüssel weg und kann nicht wiederhergestellt werden. Das bedeutet, dass diese SCEPman-Instanz nicht wiederhergestellt werden kann und da keine Instanz existiert, die gültige OCSP-Antworten erzeugen kann, alle ausgestellten Zertifikate unweigerlich als ungültig gelten.

Das Löschen des Storage Accounts führt zum Verlust von Informationen über manuell erstellte SCEPman Certificate Master-Zertifikate, insbesondere Widerrufsinformationen. Da das Löschen Ihrer SCEPman-Instanzen aufgrund der ausfallenden OCSP-Antworten ohnehin alle ausgestellten Zertifikate ungültig macht, ist dies möglicherweise kein Problem.

Ihr Storage Account könnte außerdem SCEPmans Protokolldateien enthalten. Wenn Sie diese behalten möchten, lassen Sie entweder den Storage Account bestehen und löschen nur die anderen Azure-Ressourcen oder kopieren Sie die Protokolldateien vor dem Löschen des Storage Accounts an einen anderen Ort.

hashtag
Benutzerdefinierte Domain

Möglicherweise haben Sie eine benutzerdefinierte Domain für SCEPman wie scepman.contoso.de registriert. Entfernen Sie diesen Eintrag aus dem DNS, um klarzustellen, dass er für keinen Dienst mehr erforderlich ist.

hashtag
App-Registrierungen

SCEPman und SCEPman Certificate Master verwenden jeweils eine App-Registrierung. Standardmäßig teilen alle SCEPman-Instanzen in einem Mandanten diese beiden App-Registrierungen, löschen Sie sie also nur, wenn dies die einzige SCEPman-Instanz in Ihrem Mandanten ist – außer wenn Sie die optionalen AzureADAppNameForSCEPman und AzureADAppNameForCertMaster Parameter im SCEPman PowerShell-Modul verwendet haben, damit Ihre anderen SCEPman-Instanzen andere App-Registrierungen nutzen.

Die Standardnamen der App-Registrierungen sind SCEPman-api und SCEPman-CertMaster. Sie können sie finden und löschen, indem Sie zu App-Registrierungen im Azure-Portalarrow-up-rightnavigieren. Wechseln Sie zu „Alle Anwendungen“, um nach ihnen zu suchen.

Zuletzt aktualisiert

War das hilfreich?