Enterprise デプロイ

SCEPman 2.x のデプロイは、SCEPman 1.x のデプロイとは異なります。新しい SCEPman 2.x インスタンスをインストールする場合、または既存の 1.x インスタンスをアップグレードする場合は、このままお読みください。

新しい SCEPman 2.0 インスタンス

Azure リソースをデプロイする

AAD 管理者アカウントでログインし、このサイトにアクセスして、次のいずれかのデプロイ リンクを選択してクリックしてください:

• Production channel

• Beta channel

• Internal channel

• GCC High ナショナル クラウドの Production channel

• 21Vianet ナショナル クラウドの Production channel （実験的！）

フォームに値を入力する

• サブスクリプション: アプリ サービス、Storage Account、アプリ サービス プラン、および Key Vault を作成する権限があるサブスクリプションを選択してください

• リソース グループ: 既存のリソース グループを選択するか、新しいものを作成してください。SCEPman リソースはこのリソース グループにデプロイされます

• リージョン: お住まいの場所に応じてリージョンを選択してください

• 組織名: CA 証明書のサブジェクト名（O RDN）に使用する会社名または組織名

• ライセンス: Community Edition をデプロイする場合は "trial" のままにするか、SCEPman の Enterprise Edition 用ライセンス キーを貼り付けてください。

• CA キーの種類:

  • RSA-HSM (推奨されます、HSM によって保護されたルート CA）

  • RSA （ソフトウェアによって保護されたルート CA）

• 次の項目については Storage Account 名、その名前が 必ず 3 文字以上 24 文字以下であり、 数字と小文字のみを含めることができる

• 次のために グローバルに 一意の名前を定義してください Key Vault 名、App Service Plan 名、 Primary App Service 名, Log Analytics Workspace 名, Certificate Master App Service 名, Virtual Network 名, Key Vault 名の Private Endpoint および Table Storage の Private Endpoint。 置き換える UNIQUENAME 組織名を示唆する値を指定します。

• 既存の App Service Plan ID: 既存の App Service Plan の App Service Plan ID を指定するか、新しいものを作成する場合は既定値 'none' のままにしてください

次を見つけるには 既存の App Service Plan ID: 既存の App Service Plan > JSON View > Resource ID をコピーします（スクリーンショットを参照）

• Linux にデプロイ:

  • true （SCEPman を Linux App Service Plan にデプロイします）

  • false （Windows App Service Plan にデプロイします）

• プライベート ネットワークにデプロイ:

  • true (推奨されます、キー ボールトとストレージ アカウントをプライベート エンドポイントの背後に分離するため、ネットワークの観点では SCEPman だけがそれらにアクセスできます）

  • false （キー ボールトとストレージ アカウントには、任意の IP アドレスからアクセスできます）

• 場所: すべてのリソースの既定値は [resourceGroup().location] が Microsoft の推奨値です。そのままにしておいて構いません

• 確認 + 作成、その後 作成

SCEPman 2.x のデプロイが正常に完了したら、次の項目に従ってください。 Managed Identities の記事

1.x から 2.x へのアップグレード

SCEPman 2.0 には、Azure Storage アカウントと「Cert Master」という App Service の 2 つの追加 Azure リソースが含まれます。これらはサーバー証明書の発行と管理に使用されます。ただし、従来どおりクライアント証明書だけを利用する場合は、これらがなくても SCEPman 2.0 を実行できます。

まだ SCEPman 1.x を実行している場合は、ここで説明されているように、インスタンスが 2.x のアプリケーション アーティファクトを使用していることを確認してください: アプリケーション アーティファクト.

その後、App Service を再起動してください。

SCEPman Cert Master を追加

新しい SCEPman Cert Master コンポーネントを使用してサーバー証明書を発行したい場合は、追加の Azure リソースを追加して構成する必要があります。これにより、Managed Identity としての認証が有効になり、利点の 1 つはアプリケーション シークレットが不要になることです。したがって、アプリケーション シークレットの有効期限を気にする必要もありません。手順は次のとおりです:

メイン コンポーネントをアップグレードした後は、 インストール後の構成のガイドに従う必要があります。新規インストールとは異なり、これにより 2 つの新しい Azure リソースも作成されます。

2.x から 1.x へのダウングレード

古いアーティファクトをダウンロードして Azure Blob storage などの場所にホストし、次の設定を使用してバイナリを参照することで、古い任意の SCEPman バージョンにダウングレードできます。 WEBSITE_RUN_FROM_PACKAGE 設定。

ただし、SCEPman PowerShell モジュールを使って内部の配線もアップグレードしていた場合は、1 つ注意点があります。2.x では Managed Identities を使用した Graph と Intune への別の認証方法がサポートされており、これが新しい既定値であり、スクリプトによって有効化されます。メイン コンポーネントをダウングレードすると、新しい認証方法は使用できず、旧方式に必要な設定が 1 つ不足するため、動作しなくなります。そのため、ダウングレード後はアプリケーション設定を手動で変更する必要があります AppConfig:AuthConfig:ApplicationId および AppConfig:AuthConfig:ApplicationKey。スクリプトは、接頭辞を付けて設定のバックアップを作成します バックアップ:。したがって、名前を変更する必要があります Backup:AppConfig:AuthConfig:ApplicationKey に戻して AppConfig:AuthConfig:ApplicationKey 、古い値を Backup:AppConfig:AuthConfig:ApplicationId から AppConfig:AuthConfig:ApplicationIdにコピーしてください。そうすれば、1.x は App Registrations ベースの認証を使用して再び動作します。