circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Configuración general

Para permitir que SCEPman gestione correctamente las solicitudes SOAP entrantes, debemos seguir algunos pasos:

1

hashtag
Dominio personalizado y BaseUrl

Para una autenticación exitosa con SCEPman, asegúrese de que un dominio personalizado que use un registro A apunte al App Service. De lo contrario, el cliente no podrá solicitar un ticket Kerberos válido al controlador de dominio.

circle-info

Consulte el siguiente problema conocido sobre WS_E_ENDPOINT_ACCESS_DENIED para obtener más información al respecto.

Asegúrese de que SCEPman esté configurado para ser accesible mediante un dominio personalizado:

Dominio personalizadochevron-right

El mismo requisito también se aplica después de la solicitud de directiva inicial (listado de las plantillas de certificados) para inscribir certificados. Para permitir autenticaciones exitosas, asegúrese de que la AppConfig:BaseUrl variable coincida con su dominio personalizado o use la AppConfig:ActiveDirectory:BaseUrl configuración dedicada si prefiere acceder al extremo de AD en una URL diferente a la de sus otros extremos de SCEPman.

2

hashtag
Crear Principio de Servicio

Use el New-SCEPmanADPrincipal Cmdlet del módulo PowerShell de SCEPman para crear el principio de servicio en su dominio Active Directory local. También exportará un keytab desde esta cuenta y lo cifrará con el certificado CA de SCEPman.

Puede ejecutar este comando en un controlador de dominio o en un servidor unido al dominio que tenga instalado el RSAT-AD-Tools feature. También necesitará los siguientes permisos en la OU en la que desea crear el principio:

En la propia OU:

  • Crear objetos de equipo

En los objetos de equipo descendientes:

  • Restablecer contraseña

  • Escribir msDS-SupportedEncryptionTypes

  • Escribir servicePrincipalName

  • Escribir userPrincipalName

La variante a continuación también requiere acceso de red saliente HTTPS a su instancia de SCEPman.

circle-info

Si su equipo con acceso a un controlador de dominio no tiene acceso a la red, existen variantes del CMDlet que funcionan sin él, pero requieren una preparación adicional, como descargar el certificado CA de SCEPman y copiar la CA a la máquina que ejecuta el CMDlet.

Ejecutar este comando realizará lo siguiente:

  1. Crear un objeto de equipo en la OU=Example,DC=contoso,DC=com Unidad organizativa.

  2. Descargar el certificado CA de SCEPman para cifrar el keytab en el paso 5.

  3. Agregar un nombre principal de servicio (SPN) al objeto de equipo.

  4. Crear un keytab para la cuenta del equipo que contenga la clave de cifrado basada en la contraseña del equipo.

  5. Cifrar el keytab con el certificado CA de SCEPman, de modo que solo SCEPman pueda descifrarlo nuevamente usando la clave privada de la CA.

  6. Generar el keytab cifrado para que pueda transferirse a la configuración de SCEPman.

La salida codificada en Base64 debe añadirse luego a la variable de entorno AppConfig:ActiveDirectory:Keytab de su App Service de SCEPman.

3

hashtag
Agregar Keytab a SCEPman

La integración puede habilitarse fácilmente agregando las siguientes variables de entorno en el App Service de SCEPman. Dependiendo de su caso de uso, habilite una o más de las plantillas de certificados disponibles:

Ejemplo con todas las plantillas de certificado habilitadas:

Configuración
Valor

AppConfig:ActiveDirectory:Keytab

Keytab codificado en Base64 para el principio de servicio creado en el Paso 1

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

hashtag
Problemas conocidos

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Error: WS_E_ENDPOINT_ACCESS_DENIED 
Hex: 0x803d0005
Dec: -2143485947

Se sabe que este error ocurre durante la validación del servidor CEP cuando está utilizando los predeterminados URI del Azure App Service. Este error es causado por el protocolo Kerberos que solicita un nombre principal de servicio del registro A del servicio al que se va a acceder. En el caso de los dominios predeterminados del servicio de aplicaciones, por ejemplo contoso.azurewebsites.net es solo un CNAME y apunta a un registro A similar a:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

Dado que este registro A de un host de infraestructura no garantiza consistencia en el futuro, agregar un nombre principal de servicio para este host no está recomendado.

Asegúrese de agregar un dominio personalizado a su App Service y use un registro A dentro de su proveedor DNS para apuntarlo al App Service en lugar de un CNAME.

Dominio personalizadochevron-right

hashtag
ERROR_INVALID_PARAMETER

Error: ERROR_INVALID_PARAMETER
Hex: 0x80070057
Dec: -2147024809

Este error ocurre durante el registro del servidor CEP si ingresa una URI que comienza con http://. Asegúrese de registrar un servidor CEP solo usando https://

hashtag
ERROR_ACCESS_DENIED

Al registrar un servidor CEP en el contexto de máquina, el usuario actuante (la cuenta que inició gpmc.msc) necesita ser miembro del grupo Administradores locales en el equipo mientras edita la GPO.

Asegúrese de iniciar gpmc.msc con permisos elevados en este caso.

Última actualización

¿Te fue útil?