circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Désinstallation

La manière dont vous désinstallez SCEPman dépend du fait qu'il n'y ait qu'une seule instance de SCEPman dans votre locataire et de savoir si l'instance SCEPman a été utilisée en production ou non, par exemple en tant que PoC. Si des certificats de production ont été enrôlés, vous devez planifier si vous souhaitez réduire progressivement l'utilisation de cette instance SCEPman et maintenir certaines parties de SCEPman en fonctionnement pendant un certain temps, ou si vous souhaitez l'arrêter brutalement.

Si vous avez plusieurs installations de SCEPman dans un même locataire et que vous ne voulez en désinstaller que certaines, vous devez veiller à conserver les composants utilisés par les instances actives. C'est particulièrement le cas des enregistrements d'application (App Registrations), qui par défaut sont partagés par toutes les instances.

Ce guide n'est pas destiné aux situations où vous avez une configuration géo-redondante et souhaitez conserver SCEPman, mais supprimer une instance pour une région spécifique. Veuillez contacter notre support dans ce cas si vous avez des questions.

hashtag
Profils de configuration Intune/Jamf/Autres

Pour toutes les plateformes sur lesquelles vous avez utilisé SCEPman, vous aurez probablement des profils de configuration pour

  • La distribution de la racine CA de SCEPman,

  • l'enrôlement des certificats clients via SCEP, et

  • les profils WiFi ou VPN qui utilisent ce certificat client.

Chaque type de profil de la liste précédente dépend des éléments qui le précèdent. Ainsi, vous devriez les supprimer de bas en haut, afin de ne pas laisser de dépendances ouvertes.

Notez que Intune supprimera les certificats enrôlés du client dès que vous supprimerez les profils d'enrôlement SCEParrow-up-right, il n'y a donc pas d'arrêt progressif de l'utilisation des certificats, mais une coupure nette.

hashtag
Ressources Azure

Dans de nombreux cas, il existe un seul groupe de ressources Azure dédié à tous les éléments liés à SCEPman. Ainsi, vous pouvez simplement supprimer l'ensemble du groupe de ressources pour vous débarrasser de toutes les ressources SCEPman. En cas de installation SCEPman géo-redondante, il peut y avoir des groupes de ressources supplémentaires pour les App Services et les plans App Service supplémentaires. Dans ce cas, vous avez également un Traffic Manager quelque part.

Pour supprimer les groupes de ressources, il peut être nécessaire de retirer les verrous de suppression (Delete Locks) du coffre de clés Azure (Key Vault) et/ou du compte de stockage. Il existe des cas où la suppression de tout le groupe de ressources échoue en raison des dépendances entre ressources. Dans ce cas, nous recommandons de supprimer les ressources individuellement dans l'ordre suivant :

  1. App Insights

  2. App Services

  3. Comptes de stockage

  4. Key Vault

  5. Plan App Service

  6. le groupe de ressources lui-même

SCEPman configure la suppression douce (soft-delete)arrow-up-right et la protection contre la purge (Purge Protection) pendant 90 jours par défaut pour son Key Vault Azure. Ainsi, même si vous supprimez tout le groupe de ressources, la clé CA utilisée par SCEPman sera récupérable pendant la période configurée. Ensuite, la clé CA est perdue et vous ne pouvez pas la récupérer. Cela signifie qu'il n'y a aucun moyen de restaurer cette instance SCEPman et, puisque aucune instance ne peut créer de réponses OCSP valides, tous les certificats émis sont invariablement considérés comme invalides.

La suppression du compte de stockage entraîne la perte d'informations sur les certificats maîtres SCEPman créés manuellement, en particulier les informations de révocation. Comme la suppression de vos instances SCEPman invalide de toute façon tous les certificats émis en raison des réponses OCSP défaillantes, cela peut ne pas poser de problème.

Votre compte de stockage peut également contenir les fichiers journaux (logs) de SCEPman. Si vous souhaitez les conserver, soit conservez le compte de stockage et supprimez uniquement les autres ressources Azure, soit copiez les fichiers journaux vers un autre emplacement avant de supprimer le compte de stockage.

hashtag
Domaine personnalisé

Vous avez peut-être enregistré un domaine personnalisé pour SCEPman, comme scepman.contoso.de. Supprimez cette entrée du DNS pour indiquer qu'elle n'est plus requise par aucun service.

hashtag
Inscriptions d’applications

SCEPman et SCEPman Certificate Master utilisent chacun un enregistrement d'application. Par défaut, toutes les instances SCEPman d'un locataire partagent ces deux enregistrements d'application, donc ne les supprimez que si c'est la seule instance SCEPman de votre locataire -- sauf si vous avez utilisé les paramètres optionnels AzureADAppNameForSCEPman et AzureADAppNameForCertMaster du module PowerShell SCEPman pour faire en sorte que vos autres instances SCEPman utilisent des enregistrements d'application différents.

Les noms par défaut des enregistrements d'application sont SCEPman-api et SCEPman-CertMaster. Vous pouvez les trouver et les supprimer en naviguant vers Enregistrements d'applications dans le portail Azurearrow-up-right. Basculez sur "Toutes les applications" pour les rechercher.

Mis à jour

Ce contenu vous a-t-il été utile ?