# Général

## Comment ajouter une clé de licence ?

Pour passer d'une édition Community à une édition Enterprise, vous devez ajouter la clé de licence dans les paramètres de l'application. Le fonctionnement est expliqué dans le chapitre suivant :

1. Accédez à **App Services**.
2. Choisissez ensuite votre application SCEPman.
3. Ensuite sous **Settings** cliquez **Environment variables**.
4. Sélectionnez [**AppConfig:LicenseKey**](https://docs.scepman.com/fr/configuration-scepman/application-settings/basics#appconfig-licensekey).
5. Sous **Valeur**, saisissez votre clé de licence.

<figure><img src="https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FWUw36MkAk4UZGN6eICea%2Fimage.png?alt=media&#x26;token=d49abc04-cea9-40cd-8a82-691c213c7c00" alt=""><figcaption></figcaption></figure>

6. Puis, **enregistrez** les paramètres, puis dans Vue d'ensemble, **redémarrez** votre App Service.
7. Assurez-vous que la page d'accueil SCEPman affiche maintenant la bulle de l'édition Enterprise et que tous les services sont Connectés. En cas de problème de connexion, la bulle sera rouge et votre répartiteur OCSP ne fonctionnera pas.\
   ![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FGONIyIQKATKJtxPjcNcP%2Fimage.png?alt=media\&token=54f49db2-c593-4cf4-8749-83de54d5bcd2)
8. Ajuster [Certificate Master RBAC](https://docs.scepman.com/fr/configuration-scepman/rbac) autorisations pour accéder à votre Certificate Master.

## Comment interroger par programme la table du Storage Account ?

Pour certains cas d'utilisation, il peut être nécessaire d'interroger directement la table du compte de stockage. Cela peut être fait manuellement à l'aide de [Azure Storage Explorer](https://azure.microsoft.com/en-us/features/storage-explorer/) ou par programmation à l'aide de [Azure Storage Rest API](https://docs.microsoft.com/en-us/rest/api/storageservices/query-entities). Attribuez le `rôle Storage Table Data Reader` au compte que vous utilisez. Voici un exemple de requête qui renvoie tous les certificats du Storage Account expirant dans les 30 prochains jours :

```powershell
$SCEPManStorageAccountName = "stgscepmanabc"  # Insérez ici le nom de votre Storage Account SCEPman
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Trouver tous les certificats qui expirent avant cette date
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # et                   qui expirent après cette date

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs
```

Azure CLI doit être installé sur la machine où la requête est exécutée, et vous devez être connecté au bon compte et à la bonne abonnement. C'est automatiquement le cas pour un Azure Cloud Shell.

Si vous utilisez un [Private Endpoint ](https://docs.scepman.com/fr/configuration-azure/private-endpoints)pour le Storage Account, vous devez ajouter l'adresse IP de votre client à la liste d'exceptions dans le volet Réseau du Storage Account.

## Comment restreindre l'accès public à la page d'accueil SCEPman ?

La page d'accueil SCEPman n'inclut aucune information sensible, et les attaquants ne peuvent pas exploiter les données disponibles à des fins malveillantes.&#x20;

Cependant, si vous préférez masquer la page d'accueil à l'accès public, vous pouvez le faire en utilisant le paramètre [AppConfig:AnonymousHomePageAccess](https://docs.scepman.com/fr/configuration-scepman/application-settings/basics#appconfig-anonymoushomepageaccess)

Veuillez vous assurer de redémarrer le SCEPman *App Service* après avoir ajouté le paramètre.

## Comment modifier le sujet du Root CA SCEPman ?

{% hint style="warning" %}
En modifiant le sujet de l'AC, vous devez émettre un nouveau Root CA et le déployer à tous les utilisateurs, ET redéployer tous les certificats client/appareil. Les anciens certificats ne seront alors plus valides.
{% endhint %}

Si cela ne vous pose pas de problème, veuillez suivre les étapes ci-dessous pour modifier le sujet de l'AC

* Accédez à la configuration de votre App Service SCEPman
* Modifiez la valeur CN du paramètre [`AppConfig:KeyVaultConfig:RootCertificateConfig:Subject`](https://docs.scepman.com/fr/configuration-scepman/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-subject) pour le nouveau nom de sujet souhaité
* Il est également recommandé de modifier la valeur du paramètre [`AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName`](https://docs.scepman.com/fr/configuration-scepman/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-certificatename) pour le nouveau nom de sujet, cependant, cela n'est visible que dans Azure KeyVault et non sur le certificat lui-même.

{% hint style="info" %}
Le nom n’apparaît pas dans le certificat lui-même et n’est qu’une référence au certificat CA dans Azure Key Vault. Comme il fait partie de l’URL, il existe des restrictions de nom, comme des limitations aux caractères alphanumériques, aux chiffres et aux tirets. **Les espaces ne sont pas autorisés**
{% endhint %}

* Après avoir modifié les deux valeurs, enregistrez et redémarrez l'App Service
* Rendez-vous sur la page d'accueil SCEPman et émettez un nouveau Root CA comme décrit [ici](https://docs.scepman.com/fr/deploiement-scepman/first-run-root-cert)
* Téléchargez le nouveau Root CA et importez-le dans votre profil, puis redéployez à nouveau les certificats client pour obtenir le nouveau sujet

## Comment afficher les certificats SCEP dans Intune ?

Afin d'afficher les certificats émis par SCEPman dans Intune, accédez aux certificats dans le module Intune Monitor :

**Intune > Devices > Monitor > Certificates**

![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7547745551f5bf7a4aff117794d99e0f3d61dc8e%2F2022-07-26%2011_38_54-Window.png?alt=media)

Vous y trouverez une liste de tous les certificats émis avec des détails tels que le nom de l'appareil, le nom de l'utilisateur, l'empreinte numérique, le numéro de série, le nom du sujet, la date d'émission, la date d'expiration et l'état du certificat.

Pour une vue plus complète des certificats avec des actions supplémentaires, consultez les certificats dans [Certificate Master.](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master)

## Quelle est la date d'expiration du Root CA SCEPman ? Peut-elle être prolongée/renouvelée ?

Le Root CA SCEPman a une durée de validité de 10 ans. Une fois expiré, SCEPman devra être redéployé et il n'existe actuellement aucune méthode pour prolonger la validité au-delà de 10 ans ou renouveler le Root CA existant. \
Un redéploiement présente l'avantage que le nouveau Root CA sera conforme aux normes de sécurité (taille de clé, algorithmes, etc.) pertinentes à ce moment-là dans le futur.