General

¿Cómo añadir una clave de licencia?

Para actualizar una Edición Community a una Edición Enterprise debe añadir la clave de licencia en la configuración de la aplicación. Cómo funciona esto se explica en el siguiente capítulo:

Navegue a App Services.
Luego elija su aplicación SCEPman.
A continuación, en Configuración haz clic en Variables de entorno.
Selecciona AppConfig:LicenseKey.
Bajo Valor, introduzca su clave de licencia.

Luego, Guardar la configuración, y en Resumen, reinicie su App Service.
Asegúrese de que la página principal de SCEPman ahora muestre la burbuja de Edición Enterprise y que todos los servicios estén Conectados. Si hay problemas de conexión, la burbuja estará roja y su respondedor OCSP no funcionará.
Ajuste permisos RBAC de Certificate Master para obtener acceso a su Certificate Master.

¿Cómo consultar programáticamente la Tabla de la Cuenta de Almacenamiento?

Para algunos casos de uso, podría ser necesario consultar la tabla de la cuenta de almacenamiento directamente. Esto se puede hacer manualmente utilizando el Azure Storage Explorer o programáticamente usando la Azure Storage Rest API. Asigne el rol Storage Table Data Reader a la cuenta que está utilizando. Aquí hay un ejemplo de una consulta que devuelve todos los certificados en la Cuenta de Almacenamiento que expiran en los próximos 30 días:

$SCEPManStorageAccountName = "stgscepmanabc"  # Inserte aquí el nombre de su Cuenta de Almacenamiento de SCEPman
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Encuentra todos los certificados que expiran antes de esta fecha
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # y                   que expiran después de esta fecha

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs

La CLI de Azure debe estar instalada en la máquina donde se ejecute la consulta, y debe haber iniciado sesión en la cuenta y suscripción correctas. Esto es automáticamente el caso para un Azure Cloud Shell.

Si está utilizando un Private Endpoint para la Cuenta de Almacenamiento, necesita añadir la dirección IP de su cliente a la lista de excepciones en el panel de Redes de la Cuenta de Almacenamiento.

¿Cómo restringir el acceso público a la página principal de SCEPman?

La página principal de SCEPman no incluye información sensible, y los atacantes no pueden aprovechar los datos disponibles con propósitos maliciosos.

Sin embargo, si prefiere ocultar la página principal del acceso público, puede hacerlo usando la configuración AppConfig:AnonymousHomePageAccess

Asegúrese de reiniciar el App Service de SCEPman después de añadir la configuración.

¿Cómo cambiar el Subject de la Root CA de SCEPman?

Al cambiar el Subject de la CA, debe emitir una nueva Root CA y desplegarla a todos los usuarios, Y volver a desplegar todos los certificados de cliente/dispositivo. Los certificados antiguos dejarán de ser válidos.

Si eso no es un problema para usted, siga los pasos a continuación para cambiar el subject de la CA

Navegue a la configuración de su App Service de SCEPman
Cambie el valor CN de la configuración AppConfig:KeyVaultConfig:RootCertificateConfig:Subject al nuevo nombre de subject que desee
También se recomienda cambiar el valor de la configuración AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName al nuevo nombre de subject; sin embargo, esto solo es visible en Azure KeyVault y no en el propio certificado.

El nombre no aparece en el certificado en sí y solo es una referencia al certificado CA dentro de Azure Key Vault. Como forma parte de la URL, existen restricciones de nombre, como limitaciones a caracteres alfanuméricos, números y guiones. No se permiten espacios

Después de cambiar ambos valores, guarde y reinicie el App Service
Navegue a la página principal de su SCEPman y emita una nueva Root CA como se describe aquí
Descargue la nueva Root CA y súbala a su Perfil, luego vuelva a desplegar los certificados de cliente para obtener el nuevo subject

¿Cómo ver los certificados SCEP en Intune?

Para ver los certificados emitidos por SCEPman en Intune, vaya a certificados en el módulo Monitor de Intune:

Intune > Dispositivos > Monitor > Certificados

Allí encontrará una lista de todos los certificados emitidos con detalles como nombre del dispositivo, nombre de usuario, huella digital, número de serie, nombre del subject, fecha de emisión, fecha de expiración y estado del certificado.

Para una vista más completa de los certificados junto con acciones adicionales, revise los certificados en Certificate Master.

¿Cuál es la caducidad de la Root CA de SCEPman? ¿Se puede ampliar/renovar?

La Root CA de SCEPman tiene una caducidad de 10 años. Una vez caducada, SCEPman deberá ser reimplementado y actualmente no existe un método para ampliar la caducidad más allá de 10 años ni para renovar la Root CA existente. Una reimplementación tiene la ventaja de que la nueva Root CA cumplirá con los estándares de seguridad (tamaño de clave, algoritmos, etc.) relevantes para ese momento en el futuro.

Última actualización hace 9 meses

¿Te fue útil?

Buenas noches

hashtag¿Cómo añadir una clave de licencia?

hashtag¿Cómo consultar programáticamente la Tabla de la Cuenta de Almacenamiento?

hashtag¿Cómo restringir el acceso público a la página principal de SCEPman?

hashtag¿Cómo cambiar el Subject de la Root CA de SCEPman?

hashtag¿Cómo ver los certificados SCEP en Intune?

hashtag¿Cuál es la caducidad de la Root CA de SCEPman? ¿Se puede ampliar/renovar?