Guía estándar
Esto le guiará a través de todos los pasos necesarios para configurar SCEPman en su entorno PoC o de Producción basándose en nuestras mejores prácticas.
Implementación en Azure
Comencemos con los requisitos y una visión general de los recursos. Tenga en cuenta que necesita planificar un diseño útil de recursos en Azure.
Prerequisitos
Obligatorio
Opcional
Visión general de recursos de Azure
Todos estos recursos se recomiendan para un entorno de producción.
App Service (x2)
Un entorno virtual de Azure para ejecutar las aplicaciones SCEPman Core y Cert Master y proporciona una interfaz de usuario para configurar diferentes ajustes específicos de la aplicación como CNAME, certificado SSL y App Settings.
Plan de App Service
Un conjunto virtual de recursos de cómputo y configuraciones para el/los "App Service".
Aquí puede configurar el nivel de precios y la escalabilidad de recursos.
Key Vault
Herramienta para almacenar secretos y certificados de forma segura. La aplicación SCEPman
generará y guardará el certificado raíz en su Key Vault.
Application Insights
Herramienta de gestión del rendimiento de aplicaciones (APM) para obtener información sobre
las aplicaciones y solicitudes de SCEPman. Necesaria para medir el rendimiento
y útil para la optimización del servicio.
Cuenta de almacenamiento
Plataforma de almacenamiento utilizada por el componente Certificate Master de SCEPman para almacenar ciertos atributos de los certificados TLS de servidor emitidos manualmente con fines de revocación. Opcional:
El "App Service" cargará los artefactos desde una URI de blob storage si se configuran actualizaciones manuales.
Espacio de trabajo de Log Analytics
Un almacenamiento de registros centralizado y basado en la nube. El "App Service" guardará todos
los registros y métricas de la plataforma en este espacio de trabajo.
Regla de recopilación de datos
Desde la v 3.0 para permitir que SCEPman escriba registros en el espacio de trabajo de Log Analytics usando la API de ingesta de registros de Microsoft
Además, si está utilizando Endpoints privados, tiene siete recursos de Azure adicionales.
Red virtual
Los App Services de SCEPman, el Key Vault y la cuenta de almacenamiento se conectan a través de esta VNET.
Punto de conexión privado (×2)
Uno para el Key Vault y otro para la cuenta de almacenamiento. Los hace accesibles a través de la VNET.
Zona DNS privada (×2)
Una para el Key Vault y otra para la cuenta de almacenamiento. Ambos tienen una dirección IP interna en la VNET, para la cual tienen un nombre en su respectiva zona DNS privada.
Interfaz de red (×2)
Una para el Key Vault y otra para la cuenta de almacenamiento. Conecta el punto de conexión privado a la VNET.
Pasos de configuración
Implementar servicios base de SCEPman
Esto es un obligatorio paso.
Para comenzar con la implementación, siga nuestras instrucciones de implementación:
Despliegue desde MarketplaceRealizar pasos posteriores a la implementación (asignación de permisos)
Esto es un obligatorio paso.
Para vincular correctamente todos los componentes de SCEPman 2, se deben asignar varios permisos. Siga estos pasos para establecer las conexiones relevantes:
Identidades administradasAgregar permisos del Maestro de Certificados
Esto es un obligatorio paso para Empresa Edición clientes. Edición Comunitaria los usuarios pueden omitir este paso.
El Maestro de Certificados es una función de la Edición Empresarial que permite a los administradores generar y revocar certificados manualmente. Siga estos pasos para proporcionar acceso al Maestro de Certificados.
RBAC del Maestro de CertificadosCrear certificado raíz
Esto es un obligatorio paso.
Después de completar la implementación y la asignación de permisos, necesita crear el certificado raíz para SCEPman:
CA raízConfigurar un dominio personalizado y certificado SSL
Para que su SCEPman esté disponible bajo su dominio específico necesita crear un Dominio personalizado en el App Service.
Dominio personalizadoActualizaciones manuales
Por defecto, SCEPman adopta un enfoque evergreen hacia las actualizaciones. En caso de que requiera control total sobre las actualizaciones de SCEPman, configure un slot de implementación como se describe en la siguiente guía en la sección Configuración del slot de implementación.
Estrategia de actualizaciónImplementar Application Insights
Esto es recomendado paso.
Application Insights puede usarse para obtener una visión general del rendimiento del App Service y para obtener conocimientos más profundos sobre el procesamiento de solicitudes de SCEPman. Recomendamos siempre configurar Application Insights para supervisar, mantener y optimizar el App Service.
Application InsightsConfigurar Health Check
Esto es recomendado paso.
Podemos configurar un Health Check para el App Service para recibir notificaciones directas en caso de que SCEPman deje de funcionar.
Verificación de estadoAsegurarse de que SCEPman tenga recursos suficientes
Esto es un obligatorio paso.
Una vez que traslade SCEPman a un entorno de producción, debe asegurarse de que SCEPman esté dotado de suficiente potencia de cómputo. Por lo tanto, revise nuestra guía de dimensionamiento para Azure y actualice el nivel de su Plan de App Service si es necesario. Puede posponer esto hasta después de su fase PoC o de prueba.
Dimensionamiento de App ServiceConfigurar sus perfiles de implementación MDM
Esto es un recomendado paso.
Con la finalización de los pasos anteriores, tendremos una implementación funcional de SCEPman y ahora podemos implementar certificados en los dispositivos.
Utilice uno (o más) de los siguientes artículos para desplegar certificados con su solución MDM preferida:
Microsoft IntuneJamf ProOtras soluciones MDMEmitir certificados manualmente o firmar CSR usando el Maestro de Certificados
Siga el enlace a continuación para aprender cómo emitir certificados TLS de servidor u otros certificados o cómo firmar cualquier CSR usando el componente Maestro de Certificados.
Maestro de certificadosÚltima actualización
¿Te fue útil?