circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Désinstallation

La manière dont vous désinstallez SCEPman dépend du fait qu'il n'y ait qu'une seule instance de SCEPman dans votre locataire et du fait que l'instance SCEPman ait été utilisée en production ou non, par exemple comme PoC. Si des certificats productifs ont été inscrits, vous devez planifier si vous souhaitez réduire progressivement l'utilisation de cette instance SCEPman et garder certaines parties de SCEPman en fonctionnement pendant un certain temps, ou si vous souhaitez arrêter de manière radicale.

Si vous avez plusieurs installations SCEPman dans un même locataire et que vous souhaitez n'en désinstaller que certaines, vous devez veiller à conserver les composants utilisés par les instances actives. C'est particulièrement le cas pour les enregistrements d'application (App Registrations), qui sont par défaut partagés par toutes les instances.

Ce guide n'est pas destiné aux situations où vous avez un déploiement géo-redondant et souhaitez conserver SCEPman, mais supprimer une instance pour une région spécifique. Veuillez contacter notre support dans cette situation si vous avez des questions.

hashtag
Profils de configuration Intune/Jamf/Autres

Pour toutes les plateformes sur lesquelles vous avez utilisé SCEPman, vous aurez probablement des profils de configuration pour

  • La distribution de l'AC racine SCEPman,

  • l'enregistrement des certificats clients via SCEP, et

  • des profils WiFi ou VPN qui utilisent ce certificat client.

Chaque type de profil dans la liste précédente dépend de ceux qui le précèdent. Ainsi, vous devriez les supprimer du bas vers le haut, afin de ne pas laisser de dépendances ouvertes.

Notez que Intune supprimera les certificats inscrits du client dès que vous supprimerez les profils d'enregistrement SCEParrow-up-right, il n'y a donc pas de phase d'amortissement douce de l'utilisation des certificats, mais une coupure nette.

hashtag
Ressources Azure

Dans de nombreux cas, il existe un seul groupe de ressources Azure dédié pour toutes les ressources liées à SCEPman. Ainsi, vous pouvez simplement supprimer l'ensemble du groupe de ressources pour vous débarrasser de toutes les ressources SCEPman. Dans le cas d'une installation SCEPman géo-redondante, il peut y avoir des groupes de ressources supplémentaires pour les App Services et plans App Service supplémentaires. Dans ce cas, vous avez également un Traffic Manager quelque part.

Pour supprimer les groupes de ressources, il peut être nécessaire de retirer les verrous de suppression (Delete Locks) du Key Vault Azure et/ou du compte de stockage. Il existe des cas où la suppression de l'ensemble du groupe de ressources échoue en raison des dépendances entre ressources. Dans ce cas, nous recommandons de supprimer les ressources individuellement dans l'ordre suivant :

  1. App Insights

  2. App Services

  3. Comptes de stockage

  4. Key Vault

  5. Plan App Service

  6. le groupe de ressources lui-même

SCEPman configure la suppression douce (soft-delete)arrow-up-right et la protection contre la purge (Purge Protection) pendant 90 jours par défaut pour son Key Vault Azure. Ainsi, même si vous supprimez l'ensemble du groupe de ressources, la clé CA utilisée par SCEPman sera récupérable pendant la période configurée. Ensuite, la clé CA est perdue et vous ne pouvez pas la récupérer. Cela signifie qu'il n'y a aucun moyen de restaurer cette instance SCEPman et, comme il n'existe aucune instance capable de créer des réponses OCSP valides, tous les certificats émis sont invariablement considérés comme invalides.

La suppression du compte de stockage entraîne la perte d'informations sur les certificats maîtres SCEPman créés manuellement, en particulier les informations de révocation. Étant donné que la suppression de vos instances SCEPman invalide de toute façon tous les certificats émis à cause des réponses OCSP défaillantes, cela peut ne pas poser de problème.

Votre compte de stockage peut aussi contenir les fichiers journaux (logs) de SCEPman. Si vous souhaitez les conserver, soit gardez le compte de stockage et ne supprimez que les autres ressources Azure, soit copiez les fichiers journaux vers un autre emplacement avant de supprimer le compte de stockage.

hashtag
Domaine personnalisé

Vous avez peut-être enregistré un domaine personnalisé pour SCEPman comme scepman.contoso.de. Supprimez cette entrée du DNS pour indiquer clairement qu'elle n'est plus requise par aucun service.

hashtag
Enregistrements d'application

SCEPman et SCEPman Certificate Master utilisent chacun un enregistrement d'application. Par défaut, toutes les instances SCEPman d'un locataire partagent ces deux enregistrements d'application, donc ne les supprimez que si c'est la seule instance SCEPman dans votre locataire -- sauf si vous avez utilisé les paramètres optionnels AzureADAppNameForSCEPman et AzureADAppNameForCertMaster dans le module PowerShell SCEPman pour faire en sorte que vos autres instances SCEPman utilisent des enregistrements d'application différents.

Les noms par défaut des enregistrements d'application sont SCEPman-api et SCEPman-CertMaster. Vous pouvez les trouver et les supprimer en naviguant vers Enregistrements d'application dans le portail Azurearrow-up-right. Passez en mode "Toutes les applications" pour les rechercher.

Mis à jour

Ce contenu vous a-t-il été utile ?