circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Configuración General

Para permitir que SCEPman maneje correctamente las solicitudes SOAP entrantes, debemos seguir algunos pasos:

1

hashtag
Crear Principal de Servicio

Use el New-SCEPmanADPrincipal Cmdlet del módulo SCEPman Powershell para crear el principal de servicio en su dominio Active Directory local. También exportará un keytab desde esta cuenta y lo cifrará con el certificado CA de SCEPman.

Ejecute este Cmdlet con una cuenta que tenga permisos de Administrador de Dominio y acceso de red a un Controlador de Dominio. La variante a continuación también requiere acceso de red HTTPS saliente desde su instancia de SCEPman.

circle-info

Si su equipo con acceso a un Controlador de Dominio no tiene acceso de red, existen variantes del CMDlet que funcionan sin él, pero requieren una preparación adicional, especialmente descargar el certificado CA de SCEPman y copiarlo a la máquina que ejecuta el CMDlet.

Ejecutar este comando realizará lo siguiente:

  1. Crear un objeto de equipo en la OU=Example,DC=contoso,DC=com Unidad Organizativa.

  2. Descargar el certificado CA de SCEPman para cifrar el keytab en el paso 5.

  3. Agregar un nombre principal de servicio (SPN) al objeto de equipo.

  4. Crear un keytab para la cuenta del equipo que contenga la clave de cifrado basada en la contraseña del equipo.

  5. Cifrar el keytab con el certificado CA de SCEPman, de modo que solo SCEPman pueda descifrarlo nuevamente usando la clave privada de la CA.

  6. Emitir el keytab cifrado, para que pueda transferirse a la configuración de SCEPman.

La salida codificada en Base64 debe transferirse entonces a la variable de entorno AppConfig:ActiveDirectory:Keytab de su servicio de aplicación SCEPman.

2

hashtag
Agregar Keytab a SCEPman

La integración puede habilitarse fácilmente agregando las siguientes variables de entorno en el Servicio de Aplicación SCEPman. Dependiendo de su caso de uso, habilite una o más de las plantillas de certificado disponibles:

Ejemplo con todas las plantillas de certificado habilitadas:

Ajuste
Valor

AppConfig:ActiveDirectory:Keytab

Keytab codificado en Base64 para el principal de servicio creado en el Paso 1

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

3

hashtag
Asegurar Dominio Personalizado y BaseUrl

Para una autenticación exitosa con SCEPman, asegúrese de que un dominio personalizado usando un registro A esté apuntado al servicio de aplicación. De lo contrario, el cliente no podrá solicitar un ticket Kerberos válido al controlador de dominio.

circle-info

Consulte el siguiente problema conocido sobre WS_E_ENDPOINT_ACCESS_DENIED para más información al respecto.

Asegúrese de que SCEPman esté configurado para ser accesible utilizando un dominio personalizado:

Dominio personalizadochevron-right

El mismo requisito también se aplica después de la solicitud inicial de directiva (listado de las plantillas de certificado) para inscribir certificados. Para permitir una autenticación exitosa aquí, asegúrese también de configurar la AppConfig:BaseUrl variable a su dominio personalizado o use la dedicada AppConfig:ActiveDirectory:BaseUrl configuración si requiere que el Endpoint de AD sea accesible en una URL diferente a la de sus otros endpoints de SCEPman.

hashtag
Problemas Conocidos

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Error: WS_E_ENDPOINT_ACCESS_DENIED 
Hex: 0x803d0005
Dec: -2143485947

Se sabe que este error ocurre durante la validación del servidor CEP cuando está utilizando los URI predeterminados del servicio de aplicaciones de Azure. Este error es causado por el protocolo Kerberos que solicita un nombre principal de servicio del registro A del servicio al que se debe acceder. En el caso de los dominios de servicio de aplicaciones predeterminados, por ejemplo contoso.azurewebsites.net es solo un CNAME y apunta a un registro A similar a:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

Como no se garantiza que este registro A de un host de infraestructura sea consistente en el futuro, agregar un nombre principal de servicio para este host no es recomendable.

Asegúrese de agregar un dominio personalizado a su servicio de aplicación y use un registro A dentro de su proveedor DNS para apuntarlo al servicio de aplicación en lugar de un CNAME.

Dominio personalizadochevron-right

hashtag
ERROR_INVALID_PARAMETER

Error: ERROR_INVALID_PARAMETER
Hex: 0x80070057
Dec: -2147024809

Este error ocurre durante el registro del servidor CEP si ingresa un URI que comienza con http://. Asegúrese de registrar un servidor CEP únicamente usando https://

hashtag
ERROR_ACCESS_DENIED

Al registrar un servidor CEP en el contexto de máquina, el usuario actuante (la cuenta que inició gpmc.msc) necesita ser miembro del grupo Administradores locales en el equipo mientras edita la GPO.

Asegúrese de iniciar gpmc.msc con permisos elevados en este caso.

Última actualización

¿Te fue útil?