déploiement Enterprise

Le déploiement de SCEPman 2.x est différent d’un déploiement SCEPman 1.x. Si vous souhaitez installer une nouvelle instance SCEPman 2.x ou mettre à niveau votre instance 1.x existante, poursuivez votre lecture.

Nouvelle instance SCEPman 2.0

Déployer les ressources Azure

Connectez-vous avec un compte administrateur AAD et visitez ce site, choisissez et cliquez sur l’un des liens de déploiement suivants :

• Canal de production

• Canal bêta

• Canal interne

• Canal de production dans le cloud national GCC High

• Canal de production dans le cloud national 21Vianet (Expérimental !)

Remplissez les valeurs dans le formulaire

• Abonnement : Sélectionnez votre abonnement, pour lequel vous avez les autorisations de créer des app services, un compte de stockage, un plan App Service et un key vault

• Groupe de ressources : Sélectionnez un groupe de ressources existant ou créez-en un nouveau. Les ressources SCEPman seront déployées dans ce groupe de ressources

• Région : Sélectionnez la région en fonction de votre emplacement

• Nom de l’organisation : Nom de votre entreprise ou organisation pour le nom de sujet du certificat CA (RDN O)

• Licence : laissez "trial" pour déployer une édition Community ou collez votre clé de licence pour l’édition Enterprise de SCEPman.

• Type de clé CA:

  • RSA-HSM (recommandé, CA racine prise en charge par HSM)

  • RSA (CA racine prise en charge par logiciel)

• Pour le nom du compte de stockage, veuillez noter que le nom doit comporter entre 3 et 24 caractères et peut contenir uniquement des chiffres et des lettres minuscules

• Définissez un nom globalement unique pour le nom du Key Vault, nom du plan App Service, nom principal du service App Service, nom du workspace Log Analytics, nom du service App Service Certificate Master, nom du réseau virtuel, nom du point de terminaison privé pour Key Vault et point de terminaison privé pour le stockage de tables. Remplacez UNIQUENAME par une valeur qui évoque le nom de votre organisation.

• ID du plan App Service existant : Fournissez l’ID du plan App Service d’un plan App Service existant ou laissez la valeur par défaut 'none' si vous souhaitez en créer un nouveau

Pour trouver votre ID de plan App Service existant : accédez à votre plan App Service existant > Vue JSON > copiez l’ID de ressource (voir les captures d’écran)

• Déployer sur Linux :

  • true (déploie SCEPman sur un plan App Service Linux)

  • false (déploie sur un plan App Service Windows)

• Déployer un réseau privé:

  • true (recommandé, isole le key vault et le compte de stockage derrière des points de terminaison privés afin que seul SCEPman puisse y accéder d’un point de vue réseau)

  • false (le key vault et le compte de stockage peuvent être accessibles depuis n’importe quelle adresse IP)

• Emplacement : de toutes les ressources, la valeur par défaut [resourceGroup().location] est la recommandation de Microsoft, vous pouvez simplement le laisser tel quel

• Vérifier + créer, puis Créer

Après un déploiement réussi de SCEPman 2.x, veuillez suivre l’ Identités managées article

Mise à niveau de 1.x vers 2.x

SCEPman 2.0 comprend deux ressources Azure supplémentaires, un compte Azure Storage et un App Service appelé "Cert Master". Ceux-ci sont utilisés pour émettre et gérer les certificats serveur. Mais vous pouvez aussi exécuter SCEPman 2.0 sans eux si vous ne souhaitez utiliser que les certificats client comme auparavant.

Si vous exécutez encore SCEPman 1.x, assurez-vous que votre instance utilise les artefacts applicatifs 2.x comme décrit ici : Artefacts de l’application.

Veuillez redémarrer votre App Service ensuite.

Ajouter SCEPman Cert Master

Si vous souhaitez utiliser le nouveau composant SCEPman Cert Master pour émettre des certificats serveur, vous devez ajouter les ressources Azure supplémentaires et les configurer. Cela permettra l’authentification en tant qu’identité managée ; l’un de ses avantages est que vous n’avez plus besoin d’aucun secret d’application. Vous n’avez donc pas non plus à vous soucier de l’expiration des secrets d’application ! Voici comment procéder :

Après la mise à niveau du composant principal, vous devez suivre le guide de Configuration après installation. Contrairement à une nouvelle installation, cela créera également les deux nouvelles ressources Azure.

Rétrograder de 2.x à 1.x

Vous pouvez revenir à n’importe quelle ancienne version de SCEPman en téléchargeant les anciens artefacts, en les hébergeant à votre emplacement, par exemple dans un stockage Azure Blob, puis en référençant les binaires à l’aide du WEBSITE_RUN_FROM_PACKAGE paramètre.

Cependant, si vous avez également utilisé le module PowerShell SCEPman pour mettre à niveau le câblage interne, il y a une réserve : la version 2.x prend en charge une autre méthode d’authentification pour Graph et Intune à l’aide des identités managées, qui est également la nouvelle valeur par défaut et activée par le script. Si vous rétrogradez votre composant principal, il ne pourra pas utiliser la nouvelle méthode d’authentification et il manquera un paramètre pour l’ancienne ; il ne fonctionnera donc plus. Ainsi, après une rétrogradation, vous devez modifier manuellement les paramètres de l’application AppConfig:AuthConfig:ApplicationId et AppConfig:AuthConfig:ApplicationKey. Le script crée des sauvegardes des paramètres en préfixant Sauvegarde :. Vous devez donc renommer Sauvegarde:AppConfig:AuthConfig:ApplicationKey en AppConfig:AuthConfig:ApplicationKey et copier l’ancienne valeur de Sauvegarde:AppConfig:AuthConfig:ApplicationId vers AppConfig:AuthConfig:ApplicationId. Ensuite, la version 1.x fonctionnera à nouveau en utilisant l’authentification basée sur les enregistrements d’application.