Guía extendida
Solo SCEPman Enterprise Edition
Esto le guiará a través de todos los pasos para desplegar SCEPman en un entorno de nivel empresarial con requisitos avanzados, p. ej., convenciones de nombres, redundancia o autoescalado.
Despliegue en Azure
Comencemos con los requisitos y una visión general de los recursos. Tenga en cuenta que debe planificar un diseño de recursos de Azure útil.
Prerrequisitos
Obligatorio
Opcional
Visión general de recursos de Azure
Todos estos recursos se recomiendan para un entorno de producción.
Además, si está utilizando Endpoints Privados, tendrá siete recursos adicionales de Azure.
Pasos de configuración
Desplegar los servicios base de SCEPman
Este es un obligatorio paso.
Elija si desea desplegar con un Windows o Linux Plan de App Service. Ambos métodos de despliegue le permitirán elegir su sistema operativo.
Para comenzar con el despliegue, debe seguir nuestras instrucciones de configuración aprovechando un ARM Template
Despliegue empresarialo alternativamente nuestro Terraform script:
Despliegue con TerraformRealizar pasos posteriores al despliegue (Asignación de permisos)
Este es un obligatorio paso.
Para vincular correctamente todos los componentes de SCEPman, es necesario asignar varios permisos. Por favor, siga estos pasos para establecer las conexiones relevantes:
Identidades administradasAgregar permisos de Certificate Master
Este es un obligatorio paso para Enterprise Edition clientes. Community Edition los usuarios pueden omitir este paso.
El Certificate Master es una Enterprise Edition función que permite a los administradores generar y revocar certificados manualmente. Por favor, siga estos pasos para otorgar acceso al Certificate Master.
RBAC del Administrador de CertificadosCrear certificado raíz
Este es un obligatorio paso.
Después del despliegue y de completar la asignación de permisos, debe crear el certificado raíz para SCEPman:
CA raízConfigurar un dominio personalizado y certificado SSL
Este es un recomendado paso. Sin embargo, omita este paso si está implementando geo-redundancia / alta disponibilidad.
Para que su SCEPman esté disponible bajo su dominio específico, debe crear un Dominio personalizado en el App Service.
Dominio personalizadoActualizaciones manuales
Este es un opcional paso.
Por defecto, SCEPman adopta un enfoque evergreen respecto a las actualizaciones. En caso de que requiera control total sobre las actualizaciones de SCEPman, configure un deployment slot como se describe en la siguiente guía en la sección Configuración de Deployment Slot.
Estrategia de actualizaciónDesplegar Application Insights
Esto es recomendado paso.
Application Insights puede usarse para obtener una visión general del rendimiento del App Service y para obtener conocimientos más profundos sobre el procesamiento de solicitudes de SCEPman. Recomendamos siempre configurar Application Insights para monitorear, mantener y optimizar el App Service.
Application InsightsConfigurar Health Check
Esto es recomendado paso.
Se pueden configurar Health Checks para notificar a los administradores en caso de que el App Service de SCEPman no responda.
Comprobación de estadoAsegúrese de que SCEPman tenga recursos suficientes
Este es un obligatorio paso.
Una vez que traslade SCEPman a un entorno de producción, debe asegurarse de que SCEPman esté equipado con suficiente capacidad de cómputo. Por lo tanto, revise nuestra guía de dimensionamiento para Azure y actualice la capa de su App Service Plan si es necesario. Puede posponer esto hasta después de su PoC o fase de evaluación.
Dimensionamiento del App ServiceConfigurar Autoescalado
Este es un opcional paso.
La solución SCEPman tiene dos tareas y requisitos de rendimiento diferentes. Una tarea es el proceso de emisión de certificados: después de la configuración de la solución SCEPman, debemos desplegar certificados a todos los dispositivos (certificados de usuario y/o de dispositivo), pero esta es una tarea de una sola vez y, tras el despliegue inicial, solo ocurre cuando se inscribe un nuevo dispositivo o cuando los certificados necesitan renovarse. En esas situaciones, SCEPman enfrentará un pico de solicitudes SCEP.
La segunda tarea es la validación de certificados: después de haber desplegado certificados a los dispositivos, esos certificados deben validarse cada vez que se usan. Para cada autenticación basada en certificados, los clientes, gateways o el sistema RADIUS (depende de lo que utilice) enviarán una solicitud OCSP al App Service de SCEPman. Esto causará una carga permanente de solicitudes en el App Service.
Para obtener un rendimiento optimizado y controlar los costos, recomendamos configurar la funcionalidad de Autoescalado del App Service. Con esta función su aplicación puede escalar hacia fuera y hacia dentro en base a métricas.
AutoescaladoConfigurar geo-redundancia
Este es un opcional paso.
Configurar una instancia geo-redundante para SCEPman puede mejorar la disponibilidad y la resiliencia del servicio distribuyendo las cargas de trabajo entre múltiples regiones de Azure.
Sin embargo, es importante tener en cuenta que esta configuración puede provocar un aumento de los costos de Azure debido a los recursos adicionales y la replicación de datos involucrados. Microsoft ofrece un SLA del 99,95% para Azure App Services, que es adecuado en la mayoría de los escenarios.
Geo-redundanciaConfigurar sus perfiles de despliegue MDM
Este es un recomendado paso.
Con la finalización de los pasos anteriores, tenemos una implementación funcional de SCEPman y ahora podemos desplegar certificados en los dispositivos.
Por favor, utilice uno (o más) de los siguientes artículos para desplegar certificados con su solución MDM preferida:
Microsoft IntuneJamf ProOtras soluciones MDMEmitir certificados manualmente o firmar CSRs usando el Certificate Master
Este es un opcional paso.
Siga el enlace a continuación para aprender cómo emitir certificados TLS para servidores basados en una lista de FQDNs o firmar cualquier CSR usando el componente Certificate Master.
Administrador de certificadosEmitir certificados usando la Enrollment REST API
Este es un opcional paso.
SCEPman incluye una API REST para inscribir certificados. Esta es una alternativa a los endpoints SCEP que requieren la autenticación al estilo SCEP, mientras que la API REST usa identidades de Microsoft para la autenticación. El protocolo también es mucho más simple que SCEP.
API REST de inscripciónCrear bloqueos en los recursos de Azure de SCEPman
Este es un opcional paso.
Por defecto, SCEPman no aplica bloqueos a los recursos de Azure. Si usa bloqueos de recursos y desea configurarlos, la siguiente lista describe qué tipos de bloqueo pueden aplicarse a cada recurso de SCEPman.
Key Vault: Soft Delete y Purge Protection ya proporcionan protección contra la eliminación accidental. SCEPman no modifica el recurso después de la creación de la clave de CA, por lo que un ReadOnlyLock es técnicamente posible.
Cuenta de almacenamiento: Solo un DeleteLock es posible, ya que SCEPman necesita escribir información de certificados en la tabla. Si se elimina accidentalmente una cuenta de almacenamiento, perderá la información sobre los certificados ya emitidos.
App Services: Un ReadOnlyLock es teóricamente posible, pero debe eliminarse cada vez que modifique la configuración de SCEPman. Un App Service eliminado puede reinstalarse fácilmente, pero solo tendrá la configuración predeterminada, por lo que todos los cambios manuales deberán reconfigurarse manualmente. Una combinación de DeleteLock y ReadOnlyLock ayuda a mitigar este riesgo.
Espacio de trabajo de Log Analytics: Un DeleteLock es técnicamente posible, pero solo perdería los registros recopilados durante el período de retención, lo cual no impacta la disponibilidad del servicio SCEPman.
Otros recursos de Azure: Estos no almacenan datos y pueden recrearse sin pérdida de información. Un DeleteLock y ReadOnlyLock puede ser útil para algunos de ellos. Algunos no pueden eliminarse en absoluto porque tienen dependencias en uno de los servicios principales mencionados anteriormente.
Última actualización
¿Te fue útil?