Guía ampliada

Implementar los servicios base de SCEPman

Tome su decisión sobre si le gustaría implementarlo con un Windows o Linux Plan de App Service. Ambos métodos de implementación le permitirán elegir su sistema operativo.

Para comenzar con la implementación, debe seguir nuestras instrucciones de configuración aprovechando una plantilla ARM

o, alternativamente, nuestro script de Terraform :

Realizar los pasos posteriores a la implementación (asignaciones de permisos)

Para vincular correctamente todos los componentes de SCEPman, es necesario asignar varios permisos. Siga estos pasos para establecer las conexiones pertinentes:

Agregar permisos del Certificate Master

El Certificate Master es una funcionalidad de a los clientes de Enterprise Edition que permite a los administradores generar y revocar certificados manualmente. Sigue estos pasos para proporcionar acceso al Certificate Master.

Crear certificado raíz

Después de completar la implementación y la asignación de permisos, necesitas crear el certificado raíz para SCEPman:

Configurar un dominio personalizado y un certificado SSL

opcional Para que SCEPman esté disponible bajo tu dominio específico, necesitas crear un dominio personalizado en el

App Service.

Actualizaciones manuales De forma predeterminada, SCEPman adopta un enfoque evergreen hacia las actualizaciones. Si necesitas control total sobre tus actualizaciones de SCEPman, configura un slot de implementación como se describe en la siguiente guía, en la sección.

Configuración del slot de implementación

Application Insights puede usarse para obtener una visión general del rendimiento de App Service y para obtener información más detallada del procesamiento de solicitudes de SCEPman. Recomendamos configurar siempre Application Insights para supervisar, mantener y optimizar App Service.

Configurar la comprobación de estado

Se pueden configurar comprobaciones de estado para notificar a los administradores en caso de que el App Service de SCEPman no responda.

Asegúrese de que SCEPman tenga recursos suficientes

Una vez que traslades SCEPman a un entorno de producción, debes asegurarte de que SCEPman esté equipado con suficiente capacidad de procesamiento. Por lo tanto, revisa nuestra guía de dimensionamiento de Azure y actualiza el nivel de tu plan de App Service si es necesario. Puedes posponer esto hasta después de tu PoC o de la fase de prueba.

Configurar el autoescalado

La solución SCEPman tiene dos tareas diferentes y requisitos de rendimiento. Una tarea es el proceso de emisión de certificados: después de la configuración de la solución SCEPman, necesitamos implementar certificados en todos los dispositivos (certificados de usuario y/o de dispositivo), pero esta es una tarea puntual y, después de la implementación inicial, solo ocurre cuando se inscribe un nuevo dispositivo o cuando los certificados deben renovarse. En esas situaciones, SCEPman se enfrentará a un pico de solicitudes SCEP.

La segunda tarea es la validación de certificados: después de que implementamos certificados en los dispositivos, esos certificados deben validarse cada vez que los usamos. Para cada autenticación basada en certificados, los clientes, las pasarelas o el sistema RADIUS (depende de lo que use) enviarán una solicitud OCSP al App Service de SCEPman. Esto provocará una carga permanente de solicitudes en el App Service.

Para tener un rendimiento optimizado y cuidar los costos, recomendamos configurar la funcionalidad de autoescalado del App Service. Con esta característica, su aplicación puede escalar horizontalmente y reducir su escala en función de las métricas.

Configurar la redundancia geográfica

Configurar una instancia con redundancia geográfica para SCEPman puede mejorar la disponibilidad y la resiliencia del servicio al distribuir las cargas de trabajo entre varias regiones de Azure.

Sin embargo, es importante tener en cuenta que esta configuración puede generar mayores costos de Azure debido a los recursos adicionales y la replicación de datos implicados. Microsoft proporciona un SLA del 99,95 % para Azure App Services, lo cual es adecuado en la mayoría de los escenarios.

Configura tus perfiles de implementación de MDM

Con la finalización de los pasos anteriores, tenemos una implementación funcional de SCEPman y ahora podemos desplegar certificados en los dispositivos.

Utiliza uno (o más) de los siguientes artículos para desplegar certificados con tu solución MDM preferida:

Emitir certificados manualmente o firmar CSRs usando el Certificate Master

Siga el siguiente enlace para aprender cómo emitir certificados de servidor TLS basados en una lista de FQDN o firmar cualquier CSR usando el componente Certificate Master.

Emitir certificados usando la API REST de inscripción

SCEPman cuenta con una API REST para inscribir certificados. Esta es una alternativa a los endpoints SCEP que requieren la autenticación estilo SCEP, mientras que la API REST utiliza Microsoft Identities para la autenticación. El protocolo también es mucho más simple que SCEP.

Crear bloqueos en los recursos de Azure de SCEPman

De manera predeterminada, SCEPman no aplica ningún bloqueo a los recursos de Azure. Si utiliza bloqueos de recursos y desea configurarlos, la siguiente lista indica qué tipos de bloqueo pueden aplicarse a cada recurso de SCEPman.

• Key Vault: La eliminación temporal y la protección contra purga ya proporcionan protección contra la eliminación accidental. SCEPman no modifica el recurso después de la creación de la clave de la CA, por lo que un ReadOnlyLock es técnicamente posible.

• Storage Account: Solo un DeleteLock es posible, ya que SCEPman necesita escribir información del certificado en la tabla. Si un Storage Account se elimina accidentalmente, perderá la información sobre los certificados ya emitidos.

• App Services: Un ReadOnlyLock es teóricamente posible, pero debe eliminarse cada vez que modifique la configuración de SCEPman. Un App Service eliminado puede reinstalarse fácilmente, pero solo tendrá la configuración predeterminada, por lo que todos los cambios manuales deben reconfigurarse manualmente. Una combinación de DeleteLock y ReadOnlyLock ayuda a mitigar este riesgo.

• Log Analytics Workspace: Un DeleteLock es técnicamente posible, pero solo perdería los registros recopilados durante el período de retención, lo que no afecta a la disponibilidad del servicio SCEPman.

• Otros recursos de Azure: Estos no almacenan datos y pueden recrearse sin pérdida de información. Un DeleteLock y ReadOnlyLock puede ser útil para algunos de ellos. Algunos no pueden eliminarse en absoluto porque dependen de uno de los servicios principales mencionados anteriormente.