circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Configuration générale

Pour permettre à SCEPman de traiter correctement les requêtes SOAP entrantes, nous devons effectuer quelques étapes :

1

hashtag
Créer un principal de service

Utilisez le New-SCEPmanADPrincipal Cmdlet du module PowerShell SCEPman pour créer le principal de service dans votre domaine Active Directory sur site. Il exportera également un keytab depuis ce compte et le chiffrera avec le certificat CA de SCEPman.

Exécutez ce cmdlet avec un compte disposant des autorisations d'administrateur de domaine et d'un accès réseau à un contrôleur de domaine. La variante ci-dessous nécessite également un accès réseau HTTPS sortant vers votre instance SCEPman.

circle-info

Si votre ordinateur ayant accès à un contrôleur de domaine n'a pas d'accès réseau, il existe des variantes du cmdlet qui fonctionnent sans cela, mais qui exigent une préparation supplémentaire, notamment le téléchargement du certificat CA de SCEPman et sa copie sur la machine qui exécute le cmdlet.

L'exécution de cette commande effectuera les opérations suivantes :

  1. Créer un objet ordinateur dans l' OU=Example,DC=contoso,DC=com Unité d'organisation.

  2. Télécharger le certificat CA de SCEPman pour chiffrer le keytab à l'étape 5.

  3. Ajouter un nom principal de service (SPN) à l'objet ordinateur.

  4. Créer un keytab pour le compte ordinateur contenant la clé de chiffrement basée sur le mot de passe de l'ordinateur.

  5. Chiffrer le keytab avec le certificat CA de SCEPman, de sorte que seul SCEPman puisse le déchiffrer à nouveau à l'aide de la clé privée de la CA.

  6. Exporter le keytab chiffré, afin qu'il puisse être transféré dans la configuration de SCEPman.

La sortie encodée en Base64 doit ensuite être transférée dans la variable d'environnement AppConfig:ActiveDirectory:Keytab de votre service d'application SCEPman.

2

hashtag
Ajouter le Keytab à SCEPman

L'intégration peut être facilement activée en ajoutant les variables d'environnement suivantes dans le Service d'application SCEPman. En fonction de votre cas d'utilisation, activez un ou plusieurs des modèles de certificats disponibles :

Exemple avec tous les modèles de certificats activés :

Paramètre
Value

AppConfig:ActiveDirectory:Keytab

Keytab encodé en Base64 pour le principal de service créé à l'étape 1

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

3

hashtag
Vérifier le domaine personnalisé et BaseUrl

Pour une authentification réussie avec SCEPman, assurez-vous qu'un domaine personnalisé utilisant un enregistrement A pointe vers le service d'application. Sinon, le client ne pourra pas demander un ticket Kerberos valide au contrôleur de domaine.

circle-info

Voir le problème connu ci-dessous concernant WS_E_ENDPOINT_ACCESS_DENIED pour plus d'informations à ce sujet.

Assurez-vous que SCEPman est configuré pour être accessible via un domaine personnalisé :

Domaine personnaliséchevron-right

La même exigence s'applique également après la requête initiale de stratégie (listage des modèles de certificats) pour l'enrôlement des certificats. Pour autoriser une authentification réussie ici, veillez également à configurer la AppConfig:BaseUrl variable vers votre domaine personnalisé ou à utiliser le AppConfig:ActiveDirectory:BaseUrl paramètre si vous exigez que le point de terminaison AD soit accessible à une URL différente de vos autres points de terminaison SCEPman.

hashtag
Problèmes connus

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Erreur : WS_E_ENDPOINT_ACCESS_DENIED 
Hex : 0x803d0005
Déc : -2143485947

Cette erreur est connue pour se produire lors de la validation du serveur CEP lorsque vous utilisez les URI par défaut du service d'application Azure. Cette erreur est causée par le protocole Kerberos qui demande un nom principal de service correspondant à l'enregistrement A du service à atteindre. Dans le cas des domaines par défaut du service d'application, par exemple contoso.azurewebsites.net n'est qu'un CNAME et renvoie à un enregistrement A similaire à :

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

Comme cet enregistrement A d'un hôte d'infrastructure n'est pas garanti d'être stable à l'avenir, ajouter un nom principal de service pour cet hôte est non recommandé.

Veillez à ajouter un domaine personnalisé à votre service d'application et utilisez un enregistrement A chez votre fournisseur DNS pour le pointer vers le service d'application au lieu d'un CNAME.

Domaine personnaliséchevron-right

hashtag
ERROR_INVALID_PARAMETER

Erreur : ERROR_INVALID_PARAMETER
Hex : 0x80070057
Déc : -2147024809

Cette erreur survient lors de l'enregistrement du serveur CEP si vous saisissez un URI qui commence par http://. Veillez à n'enregistrer un serveur CEP qu'en utilisant https://

hashtag
ERROR_ACCESS_DENIED

Lors de l'enregistrement d'un serveur CEP dans le contexte machine, l'utilisateur agissant (le compte qui a lancé gpmc.msc) doit être membre du groupe Administrateurs locaux de l'ordinateur lors de la modification du GPO.

Veillez à lancer gpmc.msc avec des autorisations élevées dans ce cas.

Mis à jour

Ce contenu vous a-t-il été utile ?