拡張ガイド
SCEPman エンタープライズ版のみ
これは、命名規則、冗長性、自動スケーリングなどの高度な要件を伴うエンタープライズグレードの環境向けに SCEPman を展開するためのすべての手順を案内します。
Azure デプロイメント
まずは前提条件とリソースの概要から始めます。 有用な Azure リソース設計を計画する必要があることを忘れないでください。
前提条件
必須
オプション
Azure リソースの概要
これらのリソースはすべて本番環境向けに推奨されます。
App Service(x2)
SCEPman Core と Cert Master アプリケーションを実行する仮想 Azure 環境で、CNAME、SSL 証明書、アプリ設定などのアプリケーション固有の設定を構成するための UI を提供します。
App Service プラン
「App Service(s)」のための仮想的なコンピューティング リソースと構成のセットです。
ここで価格帯とリソースのスケーリングを構成できます。
Key Vault
シークレットや証明書を安全に保存するためのツール。SCEPman アプリケーションは
ルート証明書を生成して Key Vault に保存します。
Application Insights
SCEPman アプリケーションとリクエストのインサイトを得るためのアプリケーション パフォーマンス管理(APM)ツール。
パフォーマンスを測定するために必要で、
サービス最適化に役立ちます。
ストレージ アカウント
SCEPman の Certificate Master コンポーネントが、失効処理のために手動発行された TLS サーバー証明書の特定の属性を保存するために使用するストレージ プラットフォームです。 オプション:
手動更新が構成されている場合、"App Service" はアーティファクトを Blob ストレージの URI から読み込みます。
Log Analytics ワークスペース
集中型かつクラウドベースのログ ストレージ。"App Service" はすべての
プラットフォーム ログとメトリクスをこのワークスペースに保存します。
データ収集ルール
v3.0 以降、SCEPman が Microsoft のログ取り込み API を使用して Log Analytics ワークスペースにログを書き込めるようにするためのものです。
さらに、Private Endpoint を使用している場合は、 さらに7つの Azure リソースがあります。
仮想ネットワーク
SCEPman の App Services、Key Vault、および Storage Account はこの VNET を介して接続されます。
プライベート エンドポイント(×2)
Key Vault 用に1つ、Storage Account 用に1つ。これにより VNET 上でアクセス可能になります。
プライベート DNS ゾーン(×2)
Key Vault 用に1つ、Storage Account 用に1つ。どちらも VNET 内に内部IPアドレスを持ち、それぞれのプライベート DNS ゾーンに名前が登録されています。
ネットワーク インターフェイス(×2)
Key Vault 用に1つ、Storage Account 用に1つ。プライベート エンドポイントを VNET に接続します。
構成手順
SCEPman 基本サービスのデプロイ
これは 必須の ステップです。
Windows または Linux のどちらの Windows または Linux App Service プランでデプロイするか選択してください。両方のデプロイ方法でオペレーティングシステムを選択できます。
デプロイを開始するには、次のいずれかを利用したセットアップ手順に従う必要があります。 ARM テンプレート
エンタープライズ展開または代わりに当社の Terraform スクリプト:
Terraform 展開デプロイ後の手順を実行する(権限割り当て)
これは 必須の ステップです。
SCEPman のすべてのコンポーネントを適切に接続するために、いくつかの権限を割り当てる必要があります。関連する接続を確立するために、次の手順に従ってください:
マネージド IDCertificate Master の権限を追加する
これは 必須の ステップ( エンタープライズ エディション )の手順。 コミュニティエディション のユーザーはこの手順をスキップできます。
Certificate Master は エンタープライズエディションの 機能で、管理者が手動で証明書を発行および取り消しできるようにします。Certificate Master へのアクセスを提供するために、次の手順に従ってください。
証明書マスター RBACカスタムドメインと SSL 証明書を構成する
これは 推奨される 手順です。ただし、 スキップ ジオ冗長性/高可用性を実装する場合はこの手順を省略してください。
SCEPman を特定のドメインで利用可能にするには、 カスタムドメイン を App Service に作成する必要があります。
カスタムドメイン」のセクションで説明されているようにデプロイメントスロットを構成してください。
Application Insights をデプロイする 推奨される ステップです。
これは
Application InsightsApplication Insights は App Service のパフォーマンス概要を取得し、SCEPman のリクエスト処理の詳細な洞察を得るために使用できます。App Service を監視、保守、最適化するために、常に Application Insights を構成することを推奨します。
Application Insights をデプロイする 推奨される ステップです。
ヘルスチェックを構成する
ヘルスチェックヘルスチェックは、SCEPman App Service が応答しない場合に管理者に通知するよう構成できます。
これは 必須の ステップです。
SCEPman に十分なリソースがあることを確認する
App Service のサイズ設定SCEPman を本番環境に移行する際は、SCEPman に十分な計算リソースが備わっていることを確認してください。そのため、当社の Azure サイズガイドを確認し、必要に応じて App Service プランの階層をアップグレードしてください。これは PoC またはトライアル段階の後に延期することもできます。
オートスケーリングを構成する
SCEPman ソリューションには2つの異なるタスクとパフォーマンス要件があります。 1つ目のタスクは証明書発行プロセスです: SCEPman ソリューションの構成後、全てのデバイスに証明書を展開する必要があります(ユーザーおよび/またはデバイス証明書)が、これは一度限りのタスクであり、初期デプロイ後は新しいデバイスが登録された場合や証明書を更新する必要がある場合にのみ発生します。そのような状況では、SCEPman は SCEP リクエストのピークに直面します。
2つ目のタスクは証明書検証です: デバイスに証明書を展開した後、それらの証明書は使用されるたびに検証される必要があります。証明書ベースの認証ごとに、クライアント、ゲートウェイ、または RADIUS システム(使用する構成による)は SCEPman App Service に OCSP リクエストを送信します。これにより App Service に対する恒常的なリクエスト負荷が発生します。
オートスケーリング最適なパフォーマンスを確保しコストを管理するために、App Service のオートスケーリング機能の設定を推奨します。この機能により、アプリケーションはメトリクスに基づいてスケールアウトおよびスケールインできます。
ジオ冗長性を構成する
SCEPman のジオ冗長インスタンスを構成すると、複数の Azure リージョンにワークロードを分散することでサービスの可用性と回復力を向上させることができます。
ジオ冗長性ただし、この構成は追加のリソースやデータ複製を伴うため、Azure コストの増加につながる可能性があることに注意してください。Microsoft は Azure App Services に対して 99.95% の SLA を提供しており、ほとんどのシナリオで十分です。
これは 推奨される ステップです。
MDM 展開プロファイルを構成する
上記の手順が完了したら、稼働中の SCEPman 実装ができあがり、デバイスに証明書を展開できるようになります。
Microsoft IntuneJamf Proその他の MDM ソリューション好みの MDM ソリューションで証明書を展開するには、次のいずれかのドキュメントを使用してください:
Certificate Master を使用して証明書を手動で発行するか CSR に署名する
証明書マスター以下のリンクに従って、FQDN のリストに基づく TLS サーバー証明書の発行方法や、Certificate Master コンポーネントを使用して任意の CSR に署名する方法を確認してください。
Enrollment REST API を使用して証明書を発行する
登録 REST APISCEPman には証明書を登録するための REST API が用意されています。これは SCEP 方式の認証を必要とする SCEP エンドポイントの代替手段であり、REST API は認証に Microsoft Identities を使用します。プロトコルも SCEP よりはるかにシンプルです。
SCEPman Azure リソースにロックを作成する
デフォルトでは、SCEPman は Azure リソースに対してロックを適用しません。リソースロックを使用しており、それらを構成したい場合は、次の一覧が各 SCEPman リソースに適用できるロックの種類を示しています。 Key Vault: ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 ReadOnlyLock
は技術的には可能です。 Storage Account: SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは DeleteLock
のみです。Storage Account が誤って削除されると、すでに発行された証明書に関する情報を失います。 App Services: ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 は理論的には可能ですが、SCEPman の構成を変更するたびに削除する必要があります。削除された App Service は簡単に再インストールできますが、デフォルト構成しか持たないため、すべての手動変更を再設定する必要があります。 SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは そして ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 の組み合わせがこのリスクを軽減するのに役立ちます。
Log Analytics Workspace: App Services: SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは は技術的には可能ですが、保持期間中に収集されたログしか失われないため、SCEPman サービスの可用性には影響しません。
その他の Azure リソース: これらはデータを保存しないため、情報を失うことなく再作成できます。いくつかのリソースには SCEPman がテーブルに証明書情報を書き込む必要があるため、可能なのは そして ソフトデリートとパージ保護によって偶発的な削除からの保護は既に提供されています。SCEPman は CA キー作成後にリソースを変更しないため、 が有用な場合があります。上記のいずれかのコアサービスに依存関係があるため、削除できないものもあります。
最終更新
役に立ちましたか?