Général

Comment ajouter une clé de licence ?

Pour mettre à niveau une édition Community vers une édition Enterprise, vous devez ajouter la clé de licence dans les paramètres de l’application. Le fonctionnement est expliqué dans le chapitre suivant :

Accéder à App Services.
Puis choisissez votre application SCEPman.
Ensuite, sous Paramètres cliquez sur Variables d'environnement.
Sélectionnez AppConfig:LicenseKey.
Sous Value, saisissez votre clé de licence.

Ensuite, Enregistrer les paramètres, et sous Présentation, redémarrez votre service d’application.
Assurez-vous que la page d’accueil de SCEPman affiche maintenant la bulle Enterprise Edition et que tous les services sont Connectés. En cas de problèmes de connexion, la bulle sera rouge et votre répondeur OCSP ne fonctionnera pas.
Ajustez autorisations RBAC du Certificate Master pour obtenir l’accès à votre Certificate Master.

Comment interroger programmatiquement la table du compte de stockage ?

Pour certains cas d’utilisation, il peut être nécessaire d’interroger directement la table du compte de stockage. Cela peut être fait manuellement en utilisant le Azure Storage Explorer ou programmé en utilisant le Azure Storage Rest API. Assignez le rôle Storage Table Data Reader au compte que vous utilisez. Voici un exemple de requête qui renvoie tous les certificats du compte de stockage expirant dans les 30 prochains jours :

$SCEPManStorageAccountName = "stgscepmanabc"  # Insérez ici le nom de votre compte de stockage SCEPman
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Trouver tous les certificats qui expirent avant cette date
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # et                   qui expirent après cette date

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs

L’interface en ligne de commande Azure (Azure CLI) doit être installée sur la machine où la requête est exécutée, et elle doit être connectée au bon compte et abonnement. C’est automatiquement le cas pour un Azure Cloud Shell.

Si vous utilisez un point de terminaison privé pour le compte de stockage, vous devez ajouter l’adresse IP de votre client à la liste d’exceptions dans le volet Réseau du compte de stockage.

Comment restreindre l’accès public à la page d’accueil de SCEPman ?

La page d’accueil de SCEPman n’inclut aucune information sensible, et les attaquants ne peuvent pas exploiter les données disponibles à des fins malveillantes.

Cependant, si vous préférez masquer la page d’accueil de l’accès public, vous pouvez le faire en utilisant le paramètre AppConfig:AnonymousHomePageAccess

Veuillez vous assurer de redémarrer le service d’application SCEPman après avoir ajouté le paramètre.

Comment changer le sujet de la CA racine SCEPman ?

En changeant le sujet de la CA, vous devez émettre une nouvelle CA racine et la déployer à tous les utilisateurs, ET redéployer tous les certificats client/appareil. Les anciens certificats ne seront alors plus valides.

Si cela ne vous pose pas de problème, veuillez suivre les étapes ci-dessous pour changer le sujet de la CA

Accédez à la configuration du service d’application SCEPman
Changez la valeur CN du paramètre AppConfig:KeyVaultConfig:RootCertificateConfig:Subject par le nouveau nom de sujet que vous souhaitez
Il est également recommandé de changer la valeur du paramètre AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName par le nouveau nom de sujet, cependant, ceci n’est visible que dans Azure Key Vault et pas sur le certificat lui‑même.

Le nom n'apparaît pas dans le certificat lui-même et n'est qu'une référence au certificat CA dans Azure Key Vault. Comme il fait partie de l'URL, il y a des restrictions de nommage, comme des limitations aux caractères alphanumériques, chiffres et tirets. Les espaces ne sont pas autorisés

Après avoir modifié les deux valeurs, enregistrez et redémarrez le service d’application
Accédez à votre page d’accueil SCEPman et émettez une nouvelle CA racine comme décrit ici
Téléchargez la nouvelle CA racine et téléversez‑la dans votre profil, puis redéployez les certificats clients afin d’obtenir le nouveau sujet

Comment voir les certificats SCEP dans Intune ?

Pour voir les certificats émis par SCEPman dans Intune, accédez aux certificats dans le module Surveillance d’Intune :

Intune > Périphériques > Surveillance > Certificats

Vous y trouverez une liste de tous les certificats émis avec des détails tels que le nom de l’appareil, le nom de l’utilisateur, l’empreinte, le numéro de série, le nom du sujet, la date d’émission, la date d’expiration et l’état du certificat.

Pour une vue plus complète des certificats avec des actions supplémentaires, consultez les certificats dans Certificate Master.

Quelle est la durée de validité de la CA racine SCEPman ? Peut‑elle être étendue/renouvelée ?

La CA racine SCEPman a une durée de validité de 10 ans. Une fois expirée, SCEPman devra être redéployé et il n’existe actuellement aucune méthode pour prolonger la validité au‑delà de 10 ans ou pour renouveler la CA racine existante. Un redéploiement présente l’avantage que la nouvelle CA racine respectera les normes de sécurité (taille de clé, algorithmes, etc.) qui seront pertinentes à ce moment‑là dans le futur.

Mis à jour il y a 9 mois

Ce contenu vous a-t-il été utile ?

Bonne nuit

hashtagComment ajouter une clé de licence ?

hashtagComment interroger programmatiquement la table du compte de stockage ?

hashtagComment restreindre l’accès public à la page d’accueil de SCEPman ?

hashtagComment changer le sujet de la CA racine SCEPman ?

hashtagComment voir les certificats SCEP dans Intune ?

hashtagQuelle est la durée de validité de la CA racine SCEPman ? Peut‑elle être étendue/renouvelée ?