Despliegue empresarial

El despliegue de SCEPman 2.x es diferente al de una implementación SCEPman 1.x. Si desea instalar una nueva instancia de SCEPman 2.x o actualizar su instancia 1.x existente, siga leyendo.

Nueva instancia de SCEPman 2.0

Desplegar recursos de Azure

Inicie sesión con una cuenta de administrador de AAD y visite este sitio, elija y haga clic en uno de los siguientes enlaces de implementación:

• Canal de producción

• Canal beta

• Canal interno

• Canal de producción en la nube nacional GCC High

• Canal de producción en la nube nacional 21Vianet (¡Experimental!)

Complete los valores en el formulario

• Suscripción: Seleccione su suscripción, donde tenga permisos para crear servicios de aplicaciones, cuenta de almacenamiento, plan de servicio de aplicaciones y key vault

• Grupo de recursos: Seleccione un grupo de recursos existente o cree uno nuevo. Los recursos de SCEPman se desplegarán en este grupo de recursos

• Región: Seleccione la región de acuerdo con su ubicación

• Nombre de la organización: Nombre de su empresa u organización para el nombre del sujeto del certificado CA (RDN O)

• Licencia: dejar como "trial" para desplegar una Edición Comunitaria o pegar su clave de licencia para la Edición Empresarial de SCEPman.

• Tipo de clave de CA:

  • RSA-HSM (recomendado, CA raíz respaldada por HSM)

  • RSA (CA raíz respaldada por software)

• Para el Nombre de la cuenta de almacenamiento, tenga en cuenta que el nombre debe tener entre 3 y 24 caracteres de longitud y puede contener solo números y letras minúsculas

• Defina un globalmente nombre único para el Nombre del Key Vault, Nombre del Plan de Servicio de Aplicaciones, Nombre principal del servicio de aplicaciones, Nombre del espacio de trabajo de Log Analytics, Nombre del servicio de aplicaciones Certificate Master, Nombre de la red virtual, Punto final privado para el Nombre del Key Vault y Punto final privado para el Almacenamiento de Tablas. Reemplace UNIQUENAME con un valor que sugiera el nombre de su organización.

• ID del Plan de Servicio de Aplicaciones existente: Proporcione el ID del Plan de Servicio de Aplicaciones de un Plan de Servicio de Aplicaciones existente o mantenga el valor predeterminado 'none' si desea crear uno nuevo

Para encontrar su ID del Plan de Servicio de Aplicaciones existente: navegue hasta su Plan de Servicio de Aplicaciones existente > Vista JSON > copie el ID del recurso (vea las capturas de pantalla)

• Desplegar en Linux:

  • true (despliega SCEPman en un Plan de Servicio de Aplicaciones para Linux)

  • false (despliega en un Plan de Servicio de Aplicaciones para Windows)

• Desplegar red privada:

  • true (recomendado, aisla el key vault y la cuenta de almacenamiento detrás de puntos finales privados para que solo SCEPman pueda acceder a ellos desde una perspectiva de red)

  • false (el key vault y la cuenta de almacenamiento pueden accederse desde cualquier dirección IP)

• Ubicación: de todos los recursos, el valor predeterminado [resourceGroup().location] es la recomendación de Microsoft, puede dejarlo tal como está

• Revisar + crear, luego Crear

Después de un despliegue exitoso de SCEPman 2.x, siga por favor la Identidades administradas artículo

Actualizar de 1.x a 2.x

SCEPman 2.0 comprende dos recursos adicionales de Azure, una cuenta de almacenamiento de Azure y un Servicio de Aplicaciones llamado "Cert Master". Estos se utilizan para emitir y administrar los certificados de servidor. Pero también puede ejecutar SCEPman 2.0 sin ellos si solo utiliza los certificados de cliente como antes.

Si aún ejecuta SCEPman 1.x, asegúrese de que su instancia use artefactos de aplicación 2.x como se describe aquí: Artefactos de la aplicación.

Por favor reinicie su Servicio de Aplicaciones después.

Agregar SCEPman Cert Master

Si desea usar el nuevo componente SCEPman Cert Master para emitir certificados de servidor, necesita agregar los recursos adicionales de Azure y configurarlos. Esto permitirá la autenticación como Identidad Administrada; una ventaja de ello es que ya no requiere secretos de aplicación. Por lo tanto, ¡tampoco necesita preocuparse por la expiración de los secretos de aplicación! Así es como se hace:

Después de actualizar el componente principal, debe seguir la guía de Configuración posterior a la instalación. En contraste con una instalación nueva, esto también creará los dos nuevos recursos de Azure.

Revertir de 2.x a 1.x

Puede revertir a cualquier versión anterior de SCEPman descargando los artefactos antiguos, alojándolos en su ubicación, por ejemplo Azure Blob Storage, y luego haciendo referencia a los binarios usando la WEBSITE_RUN_FROM_PACKAGE configuración.

Sin embargo, si también utilizó el módulo de PowerShell de SCEPman para actualizar el cableado interno, hay una salvedad: 2.x admite una forma diferente de autenticación con Graph e Intune usando Identidades Administradas, que también es el nuevo valor predeterminado y que habilita el script. Si revierte su componente principal, no podrá usar la nueva forma de autenticación y le faltará una configuración para la antigua, por lo que ya no funcionará. Por lo tanto, después de una reversión, debe cambiar manualmente las configuraciones de la aplicación AppConfig:AuthConfig:ApplicationId y AppConfig:AuthConfig:ApplicationKey. El script crea copias de seguridad de las configuraciones anteponiendo Copia de seguridad:. Por lo tanto, necesita renombrar Copia de seguridad:AppConfig:AuthConfig:ApplicationKey de vuelta a AppConfig:AuthConfig:ApplicationKey y copiar el valor antiguo desde Copia de seguridad:AppConfig:AuthConfig:ApplicationId a AppConfig:AuthConfig:ApplicationId. Entonces la 1.x funcionará de nuevo usando la autenticación basada en registros de aplicaciones.