Guide standard
Ceci vous guidera à travers toutes les étapes nécessaires pour configurer SCEPman dans votre environnement PoC ou Production en suivant nos meilleures pratiques.
Déploiement Azure
Commençons par les prérequis et une vue d'ensemble des ressources. Gardez à l'esprit que vous devez planifier une conception utile des ressources Azure.
Prérequis
Obligatoire
Optionnel
Aperçu des ressources Azure
Toutes ces ressources sont recommandées pour un environnement de production.
App Service (x2)
Un environnement virtuel Azure pour exécuter les applications SCEPman Core et Cert Master et qui fournit une interface utilisateur pour configurer différents paramètres spécifiques à l'application tels que CNAME, certificat SSL et paramètres d'application.
Plan App Service
Un ensemble virtuel de ressources de calcul et de configurations pour les « App Service(s) ».
Ici vous pouvez configurer le niveau de tarification et la mise à l'échelle des ressources.
Key Vault
Outil pour stocker en toute sécurité les secrets et les certificats. L'application SCEPman
générera et enregistrera le certificat racine dans votre Key Vault.
Application Insights
Outil de gestion des performances applicatives (APM) pour obtenir des informations sur les
applications SCEPman et les requêtes. Nécessaire pour mesurer les performances
et utile pour l'optimisation du service.
Compte de stockage
Plateforme de stockage utilisée par le composant Certificate Master de SCEPman pour stocker certains attributs des certificats serveur TLS émis manuellement à des fins de révocation. Optionnel :
L'« App Service » chargera les artefacts depuis une URI de stockage blob si des mises à jour manuelles sont configurées.
Espace de travail Log Analytics
Un stockage centralisé et cloud des journaux. L'« App Service » enregistrera tous
les journaux et métriques de la plateforme dans cet espace de travail.
Règle de collecte de données
Depuis la v3.0, permet à SCEPman d'écrire des journaux dans le Log Analytics Workspace en utilisant l'API d'ingestion de journaux de Microsoft
De plus, si vous utilisez des points de terminaison privés, vous avez sept ressources Azure supplémentaires.
Réseau virtuel
Les App Services SCEPman, le Key Vault et le compte de stockage se connectent via ce VNET.
Point de terminaison privé (×2)
Un pour le Key Vault et un pour le compte de stockage. Cela les rend accessibles via le VNET.
Zone DNS privée (×2)
Une pour le Key Vault et une pour le compte de stockage. Elles ont toutes deux une adresse IP interne dans le VNET, pour laquelle elles disposent d'un nom dans leur zone DNS privée respective.
Interface réseau (×2)
Une pour le Key Vault et une pour le compte de stockage. Elle connecte le point de terminaison privé au VNET.
Étapes de configuration
Déployer les services de base SCEPman
Ceci est un obligatoire étape.
Pour commencer le déploiement, veuillez suivre nos instructions de déploiement :
Déploiement via le MarketplaceEffectuer les étapes post-déploiement (attribution des permissions)
Ceci est un obligatoire étape.
Pour lier correctement tous les composants de SCEPman 2, plusieurs permissions doivent être attribuées. Veuillez suivre ces étapes pour établir les connexions pertinentes :
Identités géréesAjouter des permissions pour le Certificate Master
Ceci est un obligatoire étape pour Enterprise Edition clients. Community Edition les utilisateurs peuvent ignorer cette étape.
Le Certificate Master est une fonctionnalité Enterprise Edition qui permet aux administrateurs de générer et révoquer manuellement des certificats. Veuillez suivre ces étapes pour fournir l'accès au Certificate Master.
RBAC du maître des certificatsCréer le certificat racine
Ceci est un obligatoire étape.
Après le déploiement et l'attribution des permissions, vous devez créer le certificat racine pour SCEPman :
CA racineConfigurer un domaine personnalisé et un certificat SSL
Pour que votre SCEPman soit disponible sous votre domaine spécifique, vous devez créer un Domaine personnalisé dans le App Service.
Domaine personnaliséMises à jour manuelles
Par défaut, SCEPman adopte une approche evergreen en matière de mises à jour. Si vous avez besoin d'un contrôle total sur les mises à jour de SCEPman, veuillez configurer un slot de déploiement comme décrit dans le guide suivant à la section Configuration du slot de déploiement.
Stratégie de mise à jourDéployer Application Insights
Ceci est recommandé étape.
Application Insights peut être utilisé pour obtenir une vue d'ensemble des performances de l'App Service et pour obtenir des informations approfondies sur le traitement des requêtes de SCEPman. Nous recommandons de toujours configurer Application Insights pour surveiller, maintenir et optimiser l'App Service.
Application InsightsConfigurer le contrôle de santé
Ceci est recommandé étape.
Nous pouvons configurer un contrôle de santé pour l'App Service afin de recevoir des notifications directes au cas où SCEPman cesserait de fonctionner.
Vérification de l'étatGarantir que SCEPman dispose de ressources suffisantes
Ceci est un obligatoire étape.
Une fois que vous déplacez SCEPman dans un environnement de production, vous devez vous assurer que SCEPman dispose d'une puissance de calcul suffisante. Veuillez donc consulter notre guide de dimensionnement Azure et mettre à niveau votre niveau de plan App Service si nécessaire. Vous pouvez reporter cela jusqu'après votre phase PoC ou d'essai.
Dimensionnement du service d'applicationConfigurer vos profils de déploiement MDM
Ceci est un recommandé étape.
Une fois les étapes ci‑dessus terminées, nous disposons d'une implémentation SCEPman fonctionnelle et pouvons maintenant déployer des certificats sur les appareils.
Veuillez utiliser un (ou plusieurs) des articles suivants pour déployer des certificats avec votre solution MDM préférée :
Microsoft IntuneJamf ProAutres solutions MDMÉmettre des certificats manuellement ou signer des CSR en utilisant le Certificate Master
Veuillez suivre le lien ci‑dessous pour apprendre comment émettre des certificats serveur TLS ou d'autres certificats ou comment signer n'importe quel CSR en utilisant le composant Certificate Master.
Maître des certificatsMis à jour
Ce contenu vous a-t-il été utile ?