# Guía extendida
{% hint style="warning" %}
solo en SCEPman Enterprise Edition
{% endhint %}
Esto le guiará por todos los pasos para implementar SCEPman en un entorno de nivel empresarial con requisitos avanzados, p. ej., convenciones de nomenclatura, redundancia o autoescalado.
## Implementación en Azure
Comencemos con los requisitos y una vista general de los recursos.\
Ten en cuenta que necesitas planificar un diseño útil de recursos de Azure.
### Requisitos previos
#### Obligatorio
* [ ] Convención de nomenclatura de recursos de Azure.
* [ ] Suscripción de Azure (al menos con derechos de colaborador en esa suscripción).
* [ ] Derechos de propietario de Azure (al menos a nivel de grupo de recursos).
* [ ] Microsoft Entra ID (Azure AD) "administrador global" (consentimiento para acceder a Graph API).
* [ ] Asegúrate de definir tus directivas de Azure [de acuerdo con los requisitos de SCEPman](https://docs.scepman.com/es/otros/security-faq#azure-cis) (p. ej., no aplicar TLS).
* [ ] CNAME de dominio público (*scepman.yourdomain.com*), solo si se utiliza redundancia geográfica.
* [ ] Certificado SSL (o use [Certificado administrado de App Service](https://docs.microsoft.com/en-us/azure/app-service/configure-ssl-certificate#create-a-free-certificate-preview)), solo si se utiliza redundancia geográfica.
* [ ] Clave de licencia de SCEPman Enterprise Edition.
#### Opcional
* [ ] CNAME de dominio público (*scepman.yourdomain.com*), solo si se utiliza un dominio personalizado.
* [ ] Certificado SSL (con comodín) (o usa [Certificado administrado de App Service](https://docs.microsoft.com/en-us/azure/app-service/configure-ssl-certificate#create-a-free-certificate-preview)), solo si se utiliza un dominio personalizado.
### Resumen de recursos de Azure
Se recomiendan los siguientes recursos para un entorno de producción.
Además, si estás utilizando puntos de conexión privados, tienes [siete recursos adicionales de Azure.](https://docs.scepman.com/es/configuracion-de-azure/private-endpoints#azure-resources-used-for-private-endpoints)
## Pasos de configuración
{% stepper %}
{% step %}
### Implementar los servicios base de SCEPman
{% hint style="warning" %}
Este es un **paso** obligatorio.
{% endhint %}
Tome su decisión sobre si le gustaría implementarlo con un **Windows** o **Linux** Plan de App Service. Ambos métodos de implementación le permitirán elegir su sistema operativo.
Para comenzar con la implementación, debe seguir nuestras instrucciones de configuración aprovechando una **plantilla ARM**
{% content-ref url="../deployment-options/enterprise-deployment" %}
[enterprise-deployment](https://docs.scepman.com/es/implementacion-de-scepman/deployment-options/enterprise-deployment)
{% endcontent-ref %}
o, alternativamente, nuestro **script de Terraform** :
{% content-ref url="../deployment-options/terraform-deployment" %}
[terraform-deployment](https://docs.scepman.com/es/implementacion-de-scepman/deployment-options/terraform-deployment)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Realizar los pasos posteriores a la implementación (asignaciones de permisos)
{% hint style="warning" %}
Este es un **paso** obligatorio.
{% endhint %}
Para vincular correctamente todos los componentes de SCEPman, es necesario asignar varios permisos. Siga estos pasos para establecer las conexiones pertinentes:
{% content-ref url="../permissions/post-installation-config" %}
[post-installation-config](https://docs.scepman.com/es/implementacion-de-scepman/permissions/post-installation-config)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Agregar permisos del Certificate Master
{% hint style="success" %}
Este es un **paso** paso para **Enterprise** **Edition** clientes. **Community Edition** los usuarios pueden omitir este paso.
{% endhint %}
El Certificate Master es una funcionalidad de **a los clientes de Enterprise Edition** que permite a los administradores generar y revocar certificados manualmente. Sigue estos pasos para proporcionar acceso al Certificate Master.
{% content-ref url="../../configuracion-de-scepman/rbac" %}
[rbac](https://docs.scepman.com/es/configuracion-de-scepman/rbac)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Crear certificado raíz
{% hint style="warning" %}
Este es un **paso** obligatorio.
{% endhint %}
Después de completar la implementación y la asignación de permisos, necesitas crear el certificado raíz para SCEPman:
{% content-ref url="../first-run-root-cert" %}
[first-run-root-cert](https://docs.scepman.com/es/implementacion-de-scepman/first-run-root-cert)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Configurar un dominio personalizado y un certificado SSL
{% hint style="success" %}
Este es un **se recomienda** paso. Sin embargo, **omita** este paso si está implementando redundancia geográfica.
{% endhint %}
opcional **Para que SCEPman esté disponible bajo tu dominio específico, necesitas crear un** dominio personalizado **en el**
{% content-ref url="../../configuracion-de-azure/custom-domain" %}
[custom-domain](https://docs.scepman.com/es/configuracion-de-azure/custom-domain)
{% endcontent-ref %}
{% endstep %}
{% step %}
### App Service.
{% hint style="info" %}
Este es un **paso** obligatorio.
{% endhint %}
Actualizaciones manuales [De forma predeterminada, SCEPman adopta un enfoque](https://docs.scepman.com/es/configuracion-de-azure/update-strategy#evergreen-approach) evergreen **hacia las actualizaciones. Si necesitas control total sobre tus actualizaciones de SCEPman, configura un slot de implementación como se describe en la siguiente guía, en la sección**.
{% content-ref url="../../configuracion-de-azure/update-strategy" %}
[update-strategy](https://docs.scepman.com/es/configuracion-de-azure/update-strategy)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Configuración del slot de implementación
{% hint style="success" %}
Implementar Application Insights **se recomienda** obligatorio.
{% endhint %}
Application Insights puede usarse para obtener una visión general del rendimiento de App Service y para obtener información más detallada del procesamiento de solicitudes de SCEPman. Recomendamos configurar siempre Application Insights para supervisar, mantener y optimizar App Service.
{% content-ref url="../../configuracion-de-azure/application-insights" %}
[application-insights](https://docs.scepman.com/es/configuracion-de-azure/application-insights)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Configurar la comprobación de estado
{% hint style="success" %}
Implementar Application Insights **se recomienda** obligatorio.
{% endhint %}
Se pueden configurar comprobaciones de estado para notificar a los administradores en caso de que el App Service de SCEPman no responda.
{% content-ref url="../../configuracion-de-azure/health-check" %}
[health-check](https://docs.scepman.com/es/configuracion-de-azure/health-check)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Asegúrese de que SCEPman tenga recursos suficientes
{% hint style="warning" %}
Este es un **paso** obligatorio.
{% endhint %}
Una vez que traslades SCEPman a un entorno de producción, debes asegurarte de que SCEPman esté equipado con suficiente capacidad de procesamiento. Por lo tanto, revisa nuestra guía de dimensionamiento de Azure y actualiza el nivel de tu plan de App Service si es necesario. Puedes posponer esto hasta después de tu PoC o de la fase de prueba.
{% content-ref url="../../configuracion-de-azure/azure-sizing" %}
[azure-sizing](https://docs.scepman.com/es/configuracion-de-azure/azure-sizing)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Configurar el autoescalado
{% hint style="info" %}
Este es un **paso** obligatorio.
{% endhint %}
La solución SCEPman tiene dos tareas diferentes y requisitos de rendimiento.\
Una tarea es el proceso de emisión de certificados: después de la configuración de la solución SCEPman, necesitamos implementar certificados en todos los dispositivos (certificados de usuario y/o de dispositivo), pero esta es una tarea puntual y, después de la implementación inicial, solo ocurre cuando se inscribe un nuevo dispositivo o cuando los certificados deben renovarse. En esas situaciones, SCEPman se enfrentará a un pico de solicitudes SCEP.
La segunda tarea es la validación de certificados: después de que implementamos certificados en los dispositivos, esos certificados deben validarse cada vez que los usamos. Para cada autenticación basada en certificados, los clientes, las pasarelas o el sistema RADIUS (depende de lo que use) enviarán una solicitud OCSP al App Service de SCEPman. Esto provocará una carga permanente de solicitudes en el App Service.
Para tener un rendimiento optimizado y cuidar los costos, recomendamos configurar la funcionalidad de autoescalado del App Service. Con esta característica, su aplicación puede escalar horizontalmente y reducir su escala en función de las métricas.
{% content-ref url="../../configuracion-de-azure/azure-sizing/autoscaling" %}
[autoscaling](https://docs.scepman.com/es/configuracion-de-azure/azure-sizing/autoscaling)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Configurar la redundancia geográfica
{% hint style="info" %}
Este es un **paso** obligatorio.
{% endhint %}
Configurar una instancia con redundancia geográfica para SCEPman puede mejorar la disponibilidad y la resiliencia del servicio al distribuir las cargas de trabajo entre varias regiones de Azure.
Sin embargo, es importante tener en cuenta que esta configuración puede generar mayores costos de Azure debido a los recursos adicionales y la replicación de datos implicados. Microsoft proporciona un SLA del 99,95 % para Azure App Services, lo cual es adecuado en la mayoría de los escenarios.
{% content-ref url="../../configuracion-de-azure/geo-redundancy" %}
[geo-redundancy](https://docs.scepman.com/es/configuracion-de-azure/geo-redundancy)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Configura tus perfiles de implementación de MDM
{% hint style="success" %}
Este es un **se recomienda** obligatorio.
{% endhint %}
Con la finalización de los pasos anteriores, tenemos una implementación funcional de SCEPman y ahora podemos desplegar certificados en los dispositivos.
Utiliza uno (o más) de los siguientes artículos para desplegar certificados con tu solución MDM preferida:
{% content-ref url="../../administracion-de-certificados/microsoft-intune" %}
[microsoft-intune](https://docs.scepman.com/es/administracion-de-certificados/microsoft-intune)
{% endcontent-ref %}
{% content-ref url="../../administracion-de-certificados/jamf" %}
[jamf](https://docs.scepman.com/es/administracion-de-certificados/jamf)
{% endcontent-ref %}
{% content-ref url="../../administracion-de-certificados/static-certificates" %}
[static-certificates](https://docs.scepman.com/es/administracion-de-certificados/static-certificates)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Emitir certificados manualmente o firmar CSRs usando el Certificate Master
{% hint style="info" %}
Este es un **paso** obligatorio.
{% endhint %}
Siga el siguiente enlace para aprender cómo emitir certificados de servidor TLS basados en una lista de FQDN o firmar cualquier CSR usando el componente Certificate Master.
{% content-ref url="../../administracion-de-certificados/certificate-master" %}
[certificate-master](https://docs.scepman.com/es/administracion-de-certificados/certificate-master)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Emitir certificados usando la API REST de inscripción
{% hint style="info" %}
Este es un **paso** obligatorio.
{% endhint %}
SCEPman cuenta con una API REST para inscribir certificados. Esta es una alternativa a los endpoints SCEP que requieren la autenticación estilo SCEP, mientras que la API REST utiliza Microsoft Identities para la autenticación. El protocolo también es mucho más simple que SCEP.
{% content-ref url="../../administracion-de-certificados/api-certificates" %}
[api-certificates](https://docs.scepman.com/es/administracion-de-certificados/api-certificates)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Crear bloqueos en los recursos de Azure de SCEPman
{% hint style="info" %}
Este es un **paso** obligatorio.
{% endhint %}
De manera predeterminada, SCEPman no aplica ningún bloqueo a los recursos de Azure. Si utiliza bloqueos de recursos y desea configurarlos, la siguiente lista indica qué tipos de bloqueo pueden aplicarse a cada recurso de SCEPman.
* **Key Vault:** La eliminación temporal y la protección contra purga ya proporcionan protección contra la eliminación accidental. SCEPman no modifica el recurso después de la creación de la clave de la CA, por lo que un **ReadOnlyLock** es técnicamente posible.
* **Storage Account:** Solo un **DeleteLock** es posible, ya que SCEPman necesita escribir información del certificado en la tabla. Si un Storage Account se elimina accidentalmente, perderá la información sobre los certificados ya emitidos.
* **App Services:** Un **ReadOnlyLock** es teóricamente posible, pero debe eliminarse cada vez que modifique la configuración de SCEPman. Un App Service eliminado puede reinstalarse fácilmente, pero solo tendrá la configuración predeterminada, por lo que todos los cambios manuales deben reconfigurarse manualmente. Una combinación de **DeleteLock** y **ReadOnlyLock** ayuda a mitigar este riesgo.
* **Log Analytics Workspace:** Un **DeleteLock** es técnicamente posible, pero solo perdería los registros recopilados durante el período de retención, lo que no afecta a la disponibilidad del servicio SCEPman.
* **Otros recursos de Azure:** Estos no almacenan datos y pueden recrearse sin pérdida de información. Un **DeleteLock** y **ReadOnlyLock** puede ser útil para algunos de ellos. Algunos no pueden eliminarse en absoluto porque dependen de uno de los servicios principales mencionados anteriormente.
{% endstep %}
{% endstepper %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/es/implementacion-de-scepman/deployment-guides/enterprise-guide-1.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.