標準ガイド
これは、ベストプラクティスに基づいて PoC または本番環境で SCEPman をセットアップするために必要なすべての手順を案内します。
Azure デプロイメント
まず要件とリソースの概要から始めましょう。 有用な Azure リソース設計を計画する必要があることを忘れないでください。
前提条件
必須
オプション
Azure リソースの概要
これらのすべてのリソースは本番環境向けに推奨されます。
App Service(x2)
SCEPman Core と Cert Master アプリケーションを実行する仮想 Azure 環境で、CNAME、SSL 証明書、アプリ設定などのアプリケーション固有の設定を構成するための UI を提供します。
App Service プラン
「App Service(s)」のための仮想的なコンピューティング リソースと構成のセットです。
ここで価格帯とリソースのスケーリングを構成できます。
Key Vault
シークレットや証明書を安全に保存するためのツール。SCEPman アプリケーションは
ルート証明書を生成して Key Vault に保存します。
Application Insights
SCEPman アプリケーションとリクエストのインサイトを得るためのアプリケーション パフォーマンス管理(APM)ツール。
パフォーマンスを測定するために必要で、
サービス最適化に役立ちます。
ストレージ アカウント
SCEPman の Certificate Master コンポーネントが、失効処理のために手動発行された TLS サーバー証明書の特定の属性を保存するために使用するストレージ プラットフォームです。 オプション:
手動更新が構成されている場合、"App Service" はアーティファクトを Blob ストレージの URI から読み込みます。
Log Analytics ワークスペース
集中型かつクラウドベースのログ ストレージ。"App Service" はすべての
プラットフォーム ログとメトリクスをこのワークスペースに保存します。
データ収集ルール
v3.0 以降、SCEPman が Microsoft のログ取り込み API を使用して Log Analytics ワークスペースにログを書き込めるようにするためのものです。
さらに、プライベートエンドポイントを使用している場合は、 さらに 7 つの Azure リソースがあります。
仮想ネットワーク
SCEPman の App Services、Key Vault、および Storage Account はこの VNET を介して接続されます。
プライベート エンドポイント(×2)
Key Vault 用に1つ、Storage Account 用に1つ。これにより VNET 上でアクセス可能になります。
プライベート DNS ゾーン(×2)
Key Vault 用に1つ、Storage Account 用に1つ。どちらも VNET 内に内部IPアドレスを持ち、それぞれのプライベート DNS ゾーンに名前が登録されています。
ネットワーク インターフェイス(×2)
Key Vault 用に1つ、Storage Account 用に1つ。プライベート エンドポイントを VNET に接続します。
構成手順
デプロイ後の手順の実行(権限割り当て)
これは 必須の 手順です。
SCEPman 2 のすべてのコンポーネントを適切にリンクするには、いくつかの権限を割り当てる必要があります。関連する接続を確立するために次の手順に従ってください:
マネージド IDCertificate Master の権限を追加
これは 必須の の手順( Enterprise Edition の)お客様向け。 Community Edition のユーザーはこの手順をスキップできます。
Certificate Master は Enterprise Edition の機能で、管理者が手動で証明書を発行および失効できるようにします。Certificate Master へのアクセスを提供するために次の手順に従ってください。
証明書マスター RBAC」セクションに記載されているようにデプロイメントスロットを構成してください。
Application Insights のデプロイ これは 手順です。
推奨されます
Application InsightsApplication Insights は、App Service のパフォーマンスの概要を把握し、SCEPman のリクエスト処理の詳細な洞察を得るために使用できます。App Service を監視・維持・最適化するために、常に Application Insights を構成することを推奨します。
Application Insights のデプロイ これは 手順です。
ヘルスチェックを構成
ヘルスチェックSCEPman が動作を停止した場合に直接通知を受け取れるように、App Service のヘルスチェックを構成できます。
これは 必須の 手順です。
SCEPman に十分なリソースがあることを確認
App Service のサイズ設定SCEPman を本番環境に移行する際は、SCEPman に十分な計算能力が備わっていることを確認する必要があります。したがって、当社の Azure サイズガイドを確認し、必要に応じて App Service プランの階層をアップグレードしてください。これは PoC や試用期間の後まで延期できます。
これは これは 手順です。
MDM デプロイメントプロファイルを構成
上記の手順が完了すると、稼働する SCEPman 実装が得られ、デバイスに証明書を展開できるようになります。
Microsoft IntuneJamf Proその他の MDM ソリューション証明書を手動で発行するか、Certificate Master を使用して CSR に署名する
TLS サーバー証明書やその他の証明書を発行する方法、または Certificate Master コンポーネントを使用して任意の CSR に署名する方法については、以下のリンクに従ってください。
証明書マスター最終更新
役に立ちましたか?