circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Configuración general

Para permitir que SCEPman maneje correctamente las solicitudes SOAP entrantes, necesitamos realizar algunos pasos:

1

hashtag
Asegurar dominio personalizado y BaseUrl

Para una autenticación exitosa con SCEPman, asegúrese de que un dominio personalizado usando un Registro A apunte al servicio de la aplicación. De lo contrario, el cliente fallará al solicitar un ticket Kerberos válido al controlador de dominio.

circle-info

Consulte el siguiente problema conocido sobre WS_E_ENDPOINT_ACCESS_DENIED para obtener más información al respecto.

Asegúrese de que SCEPman esté configurado para ser accesible usando un dominio personalizado:

Dominio personalizadochevron-right

El mismo requisito también se aplica después de la solicitud inicial de políticas (listado de las plantillas de certificado) para inscribir certificados. Para permitir una autenticación exitosa aquí, asegúrese también de configurar la AppConfig:BaseUrl variable a su dominio personalizado o use la AppConfig:ActiveDirectory:BaseUrl configuración dedicada si requiere que el punto final de AD sea accesible en una URL diferente a la de sus otros puntos finales de SCEPman.

2

hashtag
Crear principal de servicio

Use el New-SCEPmanADPrincipal Cmdlet del módulo de PowerShell de SCEPman para crear el principal de servicio en su dominio de Active Directory local. También exportará un keytab desde esta cuenta y lo cifrará con el certificado CA de SCEPman.

Puede ejecutar este comando en un controlador de dominio o en un servidor unido al dominio que tenga instalado el RSAT-AD-Tools feature. También necesitará los siguientes permisos en la UO en la que desea crear el principal:

En la propia UO:

  • Crear objetos de equipo

En los objetos de equipo descendientes:

  • Restablecer contraseña

  • escritura msDS-SupportedEncryptionTypes

  • escritura servicePrincipalName

  • escritura userPrincipalName

La variante a continuación también requiere acceso de red HTTPS saliente a su instancia de SCEPman.

circle-info

Si su equipo con acceso a un controlador de dominio no tiene acceso a la red, existen variantes del Cmdlet que funcionan sin él, pero requieren una preparación adicional, especialmente descargar el certificado CA de SCEPman y copiarlo a la máquina que ejecuta el Cmdlet.

Ejecutar este comando realizará lo siguiente:

  1. Crear un objeto de equipo en la OU=Example,DC=contoso,DC=com Unidad organizativa.

  2. Descargar el certificado CA de SCEPman para cifrar el keytab en el paso 5.

  3. Agregar un nombre principal de servicio (SPN) al objeto de equipo.

  4. Crear un keytab para la cuenta del equipo que contenga la clave de cifrado basada en la contraseña del equipo.

  5. Cifrar el keytab con el certificado CA de SCEPman, de modo que solo SCEPman pueda descifrarlo nuevamente usando la clave privada de la CA.

  6. Emitir el keytab cifrado, para que pueda transferirse a la configuración de SCEPman.

La salida codificada en Base64 debe luego transferirse a la variable de entorno AppConfig:ActiveDirectory:Keytab de su servicio de aplicación SCEPman.

3

hashtag
Agregar Keytab a SCEPman

La integración se puede habilitar fácilmente agregando las siguientes variables de entorno en el Servicio de Aplicación SCEPman. Dependiendo de su caso de uso, habilite una o más de las plantillas de certificado disponibles:

Ejemplo con todas las plantillas de certificado habilitadas:

Configuración
Valor

AppConfig:ActiveDirectory:Keytab

Keytab codificado en Base64 para el principal de servicio creado en el Paso 1

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

hashtag
Problemas conocidos

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Error: WS_E_ENDPOINT_ACCESS_DENIED 
Hex: 0x803d0005
Dec: -2143485947

Se sabe que este error ocurre durante la validación del servidor CEP cuando está utilizando las URIs predeterminadas del servicio de aplicaciones de Azure. Este error es causado por el protocolo Kerberos que solicita un nombre principal de servicio del registro A del servicio que se va a acceder. En el caso de los dominios predeterminados del servicio de aplicaciones, por ejemplo contoso.azurewebsites.net es solo un CNAME y apunta a un registro A similar a:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

Como no se garantiza que este registro A de un host de infraestructura sea consistente en el futuro, agregar un nombre principal de servicio para este host no es recomendado.

Asegúrese de agregar un dominio personalizado a su servicio de aplicación y use un registro A dentro de su proveedor de DNS para apuntarlo al servicio de aplicación en lugar de un CNAME.

Dominio personalizadochevron-right

hashtag
ERROR_INVALID_PARAMETER

Error: ERROR_INVALID_PARAMETER
Hex: 0x80070057
Dec: -2147024809

Este error ocurre durante el registro del servidor CEP si ingresa una URI que comienza con http://. Asegúrese de registrar un servidor CEP solo usando https://

hashtag
ERROR_ACCESS_DENIED

Al registrar un servidor CEP en el contexto de máquina, el usuario que actúa (la cuenta que inició gpmc.msc) necesita ser miembro del grupo de Administradores local en el equipo mientras edita la GPO.

Asegúrese de iniciar gpmc.msc con permisos elevados en este caso.

Última actualización

¿Te fue útil?