Déploiement d'entreprise

Le déploiement de SCEPman 2.x est différent d'un déploiement SCEPman 1.x. Si vous souhaitez installer une nouvelle instance SCEPman 2.x ou mettre à niveau votre instance 1.x existante, continuez à lire.

Nouvelle instance SCEPman 2.0

Déployer les ressources Azure

Connectez-vous avec un compte administrateur AAD et visitez ce site, choisissez et cliquez sur l'un des liens de déploiement suivants :

• Canal production

• Canal bêta

• Canal interne

• Canal production dans le cloud national GCC High

• Canal production dans le cloud national 21Vianet (Expérimental !)

Remplissez les valeurs dans le formulaire

• Abonnement : Sélectionnez votre abonnement, où vous avez les autorisations pour créer des App Services, un compte de stockage, un plan App Service et un Key Vault

• Groupe de ressources : Sélectionnez un groupe de ressources existant ou créez-en un nouveau. Les ressources SCEPman seront déployées dans ce groupe de ressources

• Région : Sélectionnez la région en fonction de votre emplacement

• Nom de l'organisation : Nom de votre entreprise ou organisation pour le nom du sujet du certificat CA (RDN O)

• Licence : laissez sur "trial" pour déployer une édition Communautaire ou collez votre clé de licence pour l'édition Entreprise de SCEPman.

• Type de clé CA:

  • RSA-HSM (recommandés, CA racine prise en charge par HSM)

  • RSA (CA racine prise en charge par logiciel)

• Pour le Nom du compte de stockage, veuillez noter que le nom doit avoir une longueur comprise entre 3 et 24 caractères et peut contenir uniquement des chiffres et des lettres minuscules

• Définissez un globalement nom unique pour le Nom du Key Vault, Nom du plan App Service, Nom principal de l'App Service, Nom du Log Analytics Workspace, Nom de l'App Service Certificate Master, Nom du réseau virtuel, Point de terminaison privé pour le nom du Key Vault et Point de terminaison privé pour le stockage de tables. Remplacez NOMUNIQUET par une valeur qui évoque le nom de votre organisation.

• ID du plan App Service existant : Fournissez l'ID d'un plan App Service existant ou conservez la valeur par défaut 'none' si vous souhaitez en créer un nouveau

Pour trouver votre ID de plan App Service existant : naviguez vers votre plan App Service existant > Vue JSON > copiez l'ID de ressource (voir captures d'écran)

• Déployer sur Linux :

  • true (déploie SCEPman sur un plan App Service Linux)

  • false (déploie sur un plan App Service Windows)

• Déployer un réseau privé:

  • true (recommandés, isole le key vault et le compte de stockage derrière des points de terminaison privés afin que seul SCEPman puisse y accéder d'un point de vue réseau)

  • false (le key vault et le compte de stockage peuvent être accédés depuis n'importe quelle adresse IP)

• Emplacement : de toutes les ressources, la valeur par défaut [resourceGroup().location] est la recommandation de Microsoft, vous pouvez simplement la laisser telle quelle

• Vérifier + créer, puis Créer

Après un déploiement réussi de SCEPman 2.x, veuillez suivre l'article Identités gérées article

Migration de la version 1.x vers 2.x

SCEPman 2.0 comprend deux ressources Azure supplémentaires, un compte de stockage Azure et un App Service appelé "Cert Master". Ceux-ci sont utilisés pour émettre et gérer les certificats de serveur. Mais vous pouvez également exécuter SCEPman 2.0 sans eux si vous optez uniquement pour les certificats client comme auparavant.

Si vous utilisez encore SCEPman 1.x, assurez-vous que votre instance utilise les artefacts d'application 2.x comme décrit ici : Artefacts d'application.

Veuillez redémarrer votre App Service ensuite.

Ajouter SCEPman Cert Master

Si vous souhaitez utiliser le nouveau composant SCEPman Cert Master pour émettre des certificats serveur, vous devez ajouter les ressources Azure supplémentaires et les configurer. Cela permettra l'authentification en tant qu'identité gérée ; un avantage est que vous n'aurez plus besoin d'aucun secret d'application. Ainsi, vous n'avez plus à vous soucier de l'expiration des secrets d'application ! Voici comment procéder :

Après avoir mis à niveau le composant principal, vous devez suivre le guide de Configuration post-installation. Contrairement à une nouvelle installation, cela créera également les deux nouvelles ressources Azure.

Rétrograder de 2.x à 1.x

Vous pouvez rétrograder vers n'importe quelle version antérieure de SCEPman en téléchargeant les anciens artefacts, en les hébergeant à votre emplacement, par ex. Azure Blob storage, puis en faisant référence aux binaires en utilisant la WEBSITE_RUN_FROM_PACKAGE paramètre.

Cependant, si vous avez également utilisé le module PowerShell SCEPman pour mettre à niveau le câblage interne, il y a une mise en garde : la 2.x prend en charge une méthode d'authentification différente vers Graph et Intune en utilisant les identités gérées, qui est aussi la nouvelle valeur par défaut et qui est activée par le script. Si vous rétrogradez votre composant principal, il ne pourra pas utiliser la nouvelle méthode d'authentification et il lui manquera un paramètre pour l'ancienne méthode, donc il ne fonctionnera plus. Ainsi, après une rétrogradation, vous devez modifier manuellement les paramètres d'application AppConfig:AuthConfig:ApplicationId et AppConfig:AuthConfig:ApplicationKey. Le script crée des sauvegardes des paramètres en préfixant Sauvegarde :. Ainsi, vous devez renommer Sauvegarde:AppConfig:AuthConfig:ApplicationKey de retour en AppConfig:AuthConfig:ApplicationKey et copier l'ancienne valeur depuis Sauvegarde:AppConfig:AuthConfig:ApplicationId vers AppConfig:AuthConfig:ApplicationId. Ensuite, la 1.x fonctionnera de nouveau en utilisant l'authentification basée sur les enregistrements d'application.