# General

## ¿Cómo agregar una clave de licencia?

Para actualizar una Community Edition a una Enterprise Edition, debes agregar la clave de licencia en la configuración de la aplicación. Cómo funciona esto se explica en el siguiente capítulo:

1. Navega a **App Services**.
2. Luego, elige tu aplicación SCEPman.
3. Después, en **Configuración** haz clic en **Variables de entorno**.
4. Selecciona [**AppConfig:LicenseKey**](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/basics#appconfig-licensekey).
5. En **Valor**, introduce tu clave de licencia.

<figure><img src="https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FWUw36MkAk4UZGN6eICea%2Fimage.png?alt=media&#x26;token=d49abc04-cea9-40cd-8a82-691c213c7c00" alt=""><figcaption></figcaption></figure>

6. Luego, **Guardar** la configuración y, en Overview, **reinicia** tu App Service.
7. Asegúrate de que la página principal de SCEPman ahora muestre la burbuja de Enterprise Edition y de que todos los servicios estén Connected. Si hay problemas de conexión, la burbuja estará roja y tu respondedor OCSP no funcionará.\
   ![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FGONIyIQKATKJtxPjcNcP%2Fimage.png?alt=media\&token=54f49db2-c593-4cf4-8749-83de54d5bcd2)
8. Ajusta [Certificate Master RBAC](https://docs.scepman.com/es/configuracion-de-scepman/rbac) los permisos para obtener acceso a tu Certificate Master.

## ¿Cómo consultar programáticamente la tabla de Storage Account?

Para algunos casos de uso, podría ser necesario consultar directamente la tabla de la cuenta de almacenamiento. Esto se puede hacer manualmente usando el [Azure Storage Explorer](https://azure.microsoft.com/en-us/features/storage-explorer/) o programáticamente usando la [Azure Storage Rest API](https://docs.microsoft.com/en-us/rest/api/storageservices/query-entities). Asigna el `rol Storage Table Data Reader` a la cuenta que estés usando. Aquí hay un ejemplo de una consulta que devuelve todos los certificados del Storage Account que expiran en los próximos 30 días:

```powershell
$SCEPManStorageAccountName = "stgscepmanabc"  # Inserta aquí el nombre de tu Storage Account de SCEPman
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Busca todos los certificados que expiren antes de esta fecha
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # y                   que expiren después de esta fecha

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs
```

Azure CLI debe estar instalado en la máquina donde se ejecuta la consulta, y debe haber iniciado sesión en la cuenta y suscripción correctas. Esto ocurre automáticamente en un Azure Cloud Shell.

Si estás usando un [Private Endpoint ](https://docs.scepman.com/es/configuracion-de-azure/private-endpoints)para el Storage Account, debes agregar la dirección IP de tu cliente a la lista de excepciones en el panel de Networking del Storage Account.

## ¿Cómo restringir el acceso público a la página principal de SCEPman?

La página principal de SCEPman no incluye ninguna información sensible, y los atacantes no pueden aprovechar los datos disponibles con fines maliciosos.&#x20;

Sin embargo, si prefieres ocultar la página principal del acceso público, puedes hacerlo usando la configuración [AppConfig:AnonymousHomePageAccess](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/basics#appconfig-anonymoushomepageaccess)

Asegúrate de reiniciar el *App Service* de SCEPman después de agregar la configuración.

## ¿Cómo cambiar el Subject de la CA raíz de SCEPman?

{% hint style="warning" %}
Al cambiar el Subject de la CA, debes emitir una nueva Root CA y desplegarla a todos los usuarios, Y volver a desplegar todos los certificados de cliente/dispositivo. Los certificados antiguos dejarán entonces de ser válidos.
{% endhint %}

Si no tienes problema con eso, sigue los pasos a continuación para cambiar el subject de la CA

* Ve a la configuración de tu App Service de SCEPman
* Cambia el valor CN de la configuración [`AppConfig:KeyVaultConfig:RootCertificateConfig:Subject`](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-subject) al nuevo nombre de subject que deseas
* También se recomienda cambiar el valor de la configuración [`AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName`](https://docs.scepman.com/es/configuracion-de-scepman/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-certificatename) al nuevo nombre de subject; sin embargo, esto solo es visible en Azure KeyVault y no en el certificado en sí.

{% hint style="info" %}
El nombre no aparece en el certificado en sí y solo es una referencia al certificado de CA dentro de Azure Key Vault. Como forma parte de la URL, existen restricciones de nombre, como limitaciones a caracteres alfanuméricos, números y guiones. **No se permiten espacios**
{% endhint %}

* Después de cambiar ambos valores, guarda y reinicia el App Service
* Ve a la página principal de SCEPman y emite una nueva Root CA como se describe [aquí](https://docs.scepman.com/es/implementacion-de-scepman/first-run-root-cert)
* Descarga la nueva Root CA y súbela a tu Profile, luego vuelve a desplegar los certificados de cliente para obtener el nuevo subject

## ¿Cómo ver certificados SCEP en Intune?

Para ver los certificados emitidos por SCEPman en Intune, ve a los certificados en el módulo Intune Monitor:

**Intune > Devices > Monitor > Certificates**

![](https://4115997120-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7547745551f5bf7a4aff117794d99e0f3d61dc8e%2F2022-07-26%2011_38_54-Window.png?alt=media)

Allí encontrarás una lista de todos los certificados emitidos con detalles como nombre del dispositivo, nombre del usuario, huella digital, número de serie, nombre del subject, fecha de emisión, fecha de expiración y estado del certificado.

Para una vista más completa de los certificados junto con acciones adicionales, revisa los certificados en [Certificate Master.](https://docs.scepman.com/es/administracion-de-certificados/certificate-master)

## ¿Cuál es la expiración de la Root CA de SCEPman? ¿Se puede extender/renovar?

La Root CA de SCEPman tiene una expiración de 10 años. Una vez expirada, será necesario volver a desplegar SCEPman y actualmente no existe ningún método para extender la expiración más allá de 10 años o renovar la Root CA existente. \
Una nueva implementación tiene la ventaja de que la nueva Root CA cumplirá con los estándares de seguridad (tamaño de clave, algoritmos, etc.) relevantes para ese momento en el futuro.