Guía Extendida
Solo SCEPman Enterprise Edition
Esto le guiará a través de todos los pasos para desplegar SCEPman en un entorno de grado empresarial con requisitos avanzados, p. ej. convenciones de nombres, redundancia o autoescalado.
Implementación en Azure
Comencemos con los requisitos y una visión general de los recursos. Tenga en cuenta que necesita planificar un diseño útil de recursos en Azure.
Prerequisitos
Obligatorio
Opcional
Visión general de recursos de Azure
Todos estos recursos se recomiendan para un entorno de producción.
App Service (x2)
Un entorno virtual de Azure para ejecutar las aplicaciones SCEPman Core y Cert Master y que proporciona una interfaz de usuario para configurar distintos ajustes específicos de la aplicación como CNAME, certificado SSL y App Settings.
Plan de App Service
Un conjunto virtual de recursos de cómputo y configuraciones para los "App Service(s)".
Aquí puedes configurar el nivel de precios y el escalado de recursos.
Key Vault
Herramienta para almacenar de forma segura secretos y certificados. La aplicación SCEPman
generará y guardará el certificado raíz en tu Key Vault.
Application Insights
Herramienta de gestión del rendimiento de aplicaciones (APM) para obtener información sobre
las aplicaciones y solicitudes de SCEPman. Necesaria para medir el rendimiento
y útil para la optimización del servicio.
Cuenta de almacenamiento
Plataforma de almacenamiento utilizada por el componente Certificate Master de SCEPman para guardar ciertos atributos de los certificados TLS de servidor emitidos manualmente con fines de revocación. Opcional:
El "App Service" cargará los artefactos desde un URI de almacenamiento de blobs si están configuradas actualizaciones manuales.
Workspace de Log Analytics
Un almacenamiento centralizado y en la nube para registros. El "App Service" guardará todos
los registros y métricas de la plataforma en este workspace.
Regla de recopilación de datos
Desde la versión 3.0 permite a SCEPman escribir registros en el Workspace de Log Analytics usando la API de ingestión de registros de Microsoft
Además, si está utilizando Endpoints privados, tiene siete recursos de Azure adicionales.
Red virtual
Las App Services de SCEPman, el Key Vault y la cuenta de almacenamiento se conectan a través de esta VNET.
Punto de enlace privado (×2)
Uno para el Key Vault y otro para la cuenta de almacenamiento. Los hace accesibles a través de la VNET.
Zona DNS privada (×2)
Una para el Key Vault y otra para la cuenta de almacenamiento. Ambas tienen una dirección IP interna en la VNET, para la cual tienen un nombre en su respectiva zona DNS privada.
Interfaz de red (×2)
Una para el Key Vault y otra para la cuenta de almacenamiento. Conecta el punto de enlace privado a la VNET.
Pasos de configuración
Implementar servicios base de SCEPman
Esto es un obligatorio paso.
Elija si desea desplegar con un Windows o Linux Plan de Servicio de Aplicaciones. Ambos métodos de despliegue le permitirán elegir su sistema operativo.
Para comenzar con el despliegue, debe seguir nuestras instrucciones de configuración aprovechando una Plantilla ARM
Despliegue empresarialo alternativamente nuestro Terraform script:
Despliegue con TerraformRealizar pasos posteriores a la implementación (asignación de permisos)
Esto es un obligatorio paso.
Para vincular correctamente todos los componentes de SCEPman, se deben asignar varios permisos. Siga estos pasos para establecer las conexiones relevantes:
Identidades AdministradasAgregar permisos del Maestro de Certificados
Esto es un obligatorio paso para Empresa Edición clientes. Edición Comunitaria los usuarios pueden omitir este paso.
El Maestro de Certificados es una Edición Empresarial que permite a los administradores generar y revocar certificados manualmente. Siga estos pasos para proporcionar acceso al Maestro de Certificados.
RBAC del Maestro de CertificadosCrear certificado raíz
Esto es un obligatorio paso.
Después de completar la implementación y la asignación de permisos, necesita crear el certificado raíz para SCEPman:
CA RaízConfigurar un dominio personalizado y certificado SSL
Esto es un recomendado paso. Sin embargo, omita este paso si está implementando geo-redundancia / alta disponibilidad.
Para que su SCEPman esté disponible bajo su dominio específico necesita crear un Dominio personalizado en el App Service.
Dominio personalizadoActualizaciones manuales
Por defecto, SCEPman adopta un enfoque evergreen hacia las actualizaciones. En caso de que requiera control total sobre las actualizaciones de SCEPman, configure un slot de implementación como se describe en la siguiente guía en la sección Configuración del slot de implementación.
Estrategia de actualizaciónImplementar Application Insights
Esto es recomendado paso.
Application Insights puede usarse para obtener una visión general del rendimiento del App Service y para obtener conocimientos más profundos sobre el procesamiento de solicitudes de SCEPman. Recomendamos siempre configurar Application Insights para supervisar, mantener y optimizar el App Service.
Application InsightsConfigurar Health Check
Esto es recomendado paso.
Se pueden configurar comprobaciones de estado para notificar a los administradores en caso de que el App Service de SCEPman no responda.
Verificación de estadoAsegúrese de que SCEPman tenga suficientes recursos
Esto es un obligatorio paso.
Una vez que traslade SCEPman a un entorno de producción, debe asegurarse de que SCEPman esté dotado de suficiente potencia de cómputo. Por lo tanto, revise nuestra guía de dimensionamiento para Azure y actualice el nivel de su Plan de App Service si es necesario. Puede posponer esto hasta después de su fase PoC o de prueba.
Dimensionamiento del App ServiceConfigurar Autoescalado
La solución SCEPman tiene dos tareas y requisitos de rendimiento diferentes. Una tarea es el proceso de emisión de certificados: después de la configuración de la solución SCEPman necesitamos desplegar certificados a todos los dispositivos (certificados de usuario y/o de dispositivo), pero esta es una tarea única y después del despliegue inicial esto solo ocurre cuando se inscribe un nuevo dispositivo o los certificados necesitan ser renovados. En esas situaciones, SCEPman experimentará un pico de solicitudes SCEP.
La segunda tarea es la validación de certificados: después de desplegar certificados en los dispositivos, esos certificados deben validarse cada vez que se usen. Para cada autenticación basada en certificados, los clientes, gateways o el sistema RADIUS (depende de lo que utilice) enviarán una solicitud OCSP al App Service de SCEPman. Esto provocará una carga de solicitudes permanente en el App Service.
Para obtener un rendimiento optimizado y controlar los costes, recomendamos configurar la funcionalidad de Autoescalado del App Service. Con esta función su aplicación puede escalar hacia fuera y hacia dentro en función de métricas.
AutoescaladoConfigurar geo-redundancia
Configurar una instancia geo-redundante para SCEPman puede mejorar la disponibilidad y la resiliencia del servicio al distribuir las cargas de trabajo entre varias regiones de Azure.
Sin embargo, es importante tener en cuenta que esta configuración puede conllevar un aumento de los costes de Azure debido a los recursos adicionales y la replicación de datos implicados. Microsoft ofrece un SLA del 99,95% para Azure App Services, que es adecuado en la mayoría de los escenarios.
Geo-redundanciaConfigurar sus perfiles de implementación MDM
Esto es un recomendado paso.
Con la finalización de los pasos anteriores, tendremos una implementación funcional de SCEPman y ahora podemos implementar certificados en los dispositivos.
Utilice uno (o más) de los siguientes artículos para desplegar certificados con su solución MDM preferida:
Microsoft IntuneJamf ProOtras soluciones MDMEmitir certificados manualmente o firmar CSR usando el Maestro de Certificados
Siga el siguiente enlace para aprender cómo emitir certificados TLS de servidor basados en una lista de FQDNs o firmar cualquier CSR usando el componente Certificate Master.
Maestro de CertificadosEmitir certificados usando la API REST de inscripción
SCEPman cuenta con una API REST para inscribir certificados. Esta es una alternativa a los endpoints SCEP que requieren el estilo de autenticación SCEP, mientras que la API REST utiliza Identidades de Microsoft para la autenticación. El protocolo también es mucho más sencillo que SCEP.
REST API de InscripciónÚltima actualización
¿Te fue útil?