implementación empresarial

La implementación de SCEPman 2.x es diferente de una implementación de SCEPman 1.x. Si desea instalar una nueva instancia de SCEPman 2.x o actualizar su instancia 1.x existente, siga leyendo.

Nueva instancia de SCEPman 2.0

Implementar recursos de Azure

Inicie sesión con una cuenta de administrador de AAD y visite este sitio, elija y haga clic en uno de los siguientes enlaces de implementación:

• Canal de producción

• Canal beta

• Canal interno

• Canal de producción en la nube nacional GCC High

• Canal de producción en la nube nacional 21Vianet (¡Experimental!)

Complete los valores en el formulario

• Suscripción: Seleccione su suscripción, donde tenga permisos para crear app services, storage account, app service plan y key vault

• Grupo de recursos: Seleccione un grupo de recursos existente o cree uno nuevo. Los recursos de SCEPman se implementarán en este grupo de recursos

• Región: Seleccione la región según su ubicación

• Nombre de la organización: Nombre de su empresa u organización para el nombre distintivo del certificado de la CA (O RDN)

• Licencia: deje como "trial" para implementar una edición Community o pegue su clave de licencia para la edición Enterprise de SCEPman.

• Tipo de clave CA:

  • RSA-HSM (se recomienda, CA raíz respaldada por HSM)

  • RSA (CA raíz respaldada por software)

• Para el Nombre de la cuenta de almacenamiento, tenga en cuenta que el nombre debe tener entre 3 y 24 caracteres de longitud y puede contener solo números y letras minúsculas

• Defina un nombre globalmente único para el Nombre de Key Vault, nombre del plan de App Service, Nombre principal de App Service, Nombre del área de trabajo de Log Analytics, Nombre del App Service maestro de certificados, Nombre de la red virtual, Nombre del punto de اتصال privado para Key Vault y Punto de conexión privado para Table Storage. Reemplace UNIQUENAME por un valor que sugiera el nombre de su organización.

• ID del plan de App Service existente: Proporcione el ID del plan de App Service de un plan de App Service existente o deje el valor predeterminado 'none' si desea crear uno nuevo

Para encontrar su ID del plan de App Service existente: navegue hasta su plan de App Service existente > Vista JSON > copie el Resource ID (consulte las capturas de pantalla)

• Implementar en Linux:

  • verdadero (implementa SCEPman en un plan de App Service de Linux)

  • falso (implementa en un plan de App Service de Windows)

• Implementar red privada:

  • verdadero (se recomienda, aísla el key vault y la cuenta de almacenamiento detrás de puntos de conexión privados, de modo que solo SCEPman pueda acceder a ellos desde el punto de vista de la red)

  • falso (se puede acceder al key vault y a la cuenta de almacenamiento desde cualquier dirección IP)

• Ubicación: de todos los recursos, el valor predeterminado [resourceGroup().location] es la recomendación de Microsoft, puede dejarlo tal como está

• Revisar + crear, luego Crear

Después de una implementación exitosa de SCEPman 2.x, siga el Identidades administradas artículo

Actualizar de 1.x a 2.x

SCEPman 2.0 incluye dos recursos adicionales de Azure, una cuenta de Azure Storage y un App Service llamado "Cert Master". Estos se utilizan para emitir y administrar los certificados del servidor. Pero también puede ejecutar SCEPman 2.0 sin ellos si solo desea los certificados de cliente, como antes.

Si todavía ejecuta SCEPman 1.x, asegúrese de que su instancia use los artefactos de aplicación 2.x como se describe aquí: Artefactos de aplicación.

Reinicie su App Service después.

Agregar SCEPman Cert Master

Si desea usar el nuevo componente SCEPman Cert Master para emitir certificados de servidor, debe agregar los recursos adicionales de Azure y configurarlos. Esto habilitará la autenticación como Identidad administrada; una de sus ventajas es que ya no necesita ningún secreto de aplicación. Por lo tanto, tampoco tiene que preocuparse por la expiración de los secretos de aplicación. Así es como se hace:

Después de actualizar el componente principal, debe seguir la guía de Configuración posterior a la instalación. A diferencia de una instalación nueva, esto también creará los dos nuevos recursos de Azure.

Degradar de 2.x a 1.x

Puede degradar a cualquier versión anterior de SCEPman descargando los artefactos anteriores, alojándolos en su ubicación, por ejemplo, Azure Blob Storage, y luego haciendo referencia a los binarios mediante la configuración WEBSITE_RUN_FROM_PACKAGE .

Sin embargo, si también utilizó el módulo de PowerShell de SCEPman para actualizar el cableado interno, hay una advertencia: 2.x admite una forma diferente de autenticación para Graph e Intune mediante Identidades administradas, que además es la nueva opción predeterminada y que está habilitada por el script. Si degrada su componente principal, no podrá usar la nueva forma de autenticación y le faltará una configuración para la antigua, por lo que dejará de funcionar. Por lo tanto, después de una degradación, debe cambiar manualmente la configuración de la aplicación AppConfig:AuthConfig:ApplicationId y AppConfig:AuthConfig:ApplicationKey. El script crea copias de seguridad de la configuración anteponiendo Backup:. Por lo tanto, debe cambiar el nombre de Backup:AppConfig:AuthConfig:ApplicationKey de nuevo a AppConfig:AuthConfig:ApplicationKey y copiar el valor antiguo de Backup:AppConfig:AuthConfig:ApplicationId a AppConfig:AuthConfig:ApplicationId. Entonces 1.x volverá a funcionar usando autenticación basada en App Registrations.