circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

エンタープライズデプロイ

GitHub デプロイ

SCEPman 2.x の展開は SCEPman 1.x の展開と異なります。新しい SCEPman 2.x インスタンスをインストールする場合や既存の 1.x インスタンスをアップグレードする場合は、引き続きお読みください。

hashtag
新しい SCEPman 2.0 インスタンス

Azure リソースをデプロイ

AAD 管理者アカウントでログインしてこのサイトを訪れ、以下の展開リンクのいずれかを選んでクリックしてください:

フォームに値を入力してください

  • サブスクリプション: アプリサービス、ストレージアカウント、アプリサービスプラン、およびキー コンテナーを作成する権限があるサブスクリプションを選択してください

  • リソース グループ: 既存のリソースグループを選択するか新しいものを作成してください。SCEPman のリソースはこのリソースグループにデプロイされます

  • リージョン: 場所に応じてリージョンを選択してください

  • 組織名: CA 証明書のサブジェクト名(O RDN)として使用する会社または組織の名前

circle-exclamation

互換性を最大化するために、 組織名 については省略することを推奨します

  • 言語固有の特殊文字(例:ö、ø、é、...)

  • 先頭のスペース(単語間のスペースは使用できます)

  • 引用符

  • ライセンス: Community Edition をデプロイするには「trial」のままにしておくか、SCEPman Enterprise Edition のライセンスキーを貼り付けてください。

  • CA キーの種類:

    • RSA-HSM (これは(HSM バックアップのルート CA)

    • RSA (ソフトウェア バックアップのルート CA)

  • について ストレージアカウント名、ご注意ください:名前は でなければなりません 長さが 3 ~ 24 文字であり、次を含めることができます 数字と小文字の英字のみ

  • を定義してください グローバルに 一意の名前を キー コンテナー名、アプリサービスプラン名、 主要なアプリサービス名, Log Analytics ワークスペース名, 証明書マスター アプリサービス名, 仮想ネットワーク名, キー コンテナー用プライベートエンドポイント名 および テーブル ストレージ用プライベートエンドポイント。 を置き換えてください UNIQUENAME 組織名を示唆する値に置き換えてください。

circle-exclamation

以前に同じ キー コンテナー名で SCEPman をデプロイし、前のデプロイのすべてのリソースを削除した場合は、必ず 回復arrow-up-right して以前に削除したキー コンテナーを復元してください。それは以前のリソースグループに再表示されます。ARM 展開が同じリソースグループを指している場合、既存のキー コンテナーを認識して再利用します。前のキー コンテナーを完全に削除することは、次のために実行できません: パージ保護arrow-up-right が 90 日間有効になっているためです。

  • 既存のアプリサービスプラン ID: 既存のアプリサービスプランの ID を指定するか、新しいものを作成する場合はデフォルト値 'none' のままにしてください

既存の アプリサービスプラン ID を見つけるには: 既存のアプリサービスプランに移動 > JSON ビュー > リソース ID をコピー(スクリーンショットを参照)

  • Linux にデプロイ:

    • true (SCEPman を Linux アプリサービスプランにデプロイします)

    • false (Windows アプリサービスプランにデプロイします)

  • プライベート ネットワークをデプロイ:

    • true (これは、キー コンテナーとストレージ アカウントをプライベートエンドポイントの背後に隔離し、ネットワークの観点から SCEPman のみがアクセスできるようにします)

    • false (キー コンテナーとストレージ アカウントは任意の IP アドレスからアクセス可能)

  • 場所: すべてのリソースの、デフォルト値 [resourceGroup().location] は Microsoft の推奨であり、そのままにしておくことができます

  • 確認 + 作成、その後 作成

SCEPman 2.x のデプロイが成功した後、次を参照してください マネージド ID 記事

hashtag
1.x から 2.x へのアップグレード

SCEPman 2.0 には、Azure ストレージアカウントと「Cert Master」という名前の App Service という 2 つの追加 Azure リソースが含まれます。これらはサーバー証明書の発行と管理に使用されます。しかし、クライアント証明書のみを扱う場合は、これらがなくても SCEPman 2.0 を実行できます。

まだ SCEPman 1.x を実行している場合は、インスタンスがここに記載されたとおりに 2.x のアプリケーションアーティファクトを使用していることを確認してください: アプリケーションアーティファクト.

その後、アプリサービスを再起動してください。

hashtag
SCEPman Cert Master を追加

circle-exclamation

前に 以下の PowerShell スクリプトで Cert Master コンポーネントを追加する前に、既存の SCEPman ベースサービスを前の段落で説明したようにバージョン >= 2.0 に更新する必要があります。

新しい SCEPman Cert Master コンポーネントを使用してサーバー証明書を発行したい場合は、追加の Azure リソースを追加して構成する必要があります。これによりマネージド ID としての認証が可能になり、その利点の一つはアプリケーション シークレットが不要になることです。したがって、アプリケーション シークレットの有効期限を心配する必要もなくなります!手順は次のとおりです:

メインコンポーネントをアップグレードした後、次のガイドに従う必要があります: インストール後の構成。新規インストールとは異なり、これにより 2 つの新しい Azure リソースも作成されます。

hashtag
2.x から 1.x へのダウングレード

古いアーティファクトをダウンロードして任意の古い SCEPman バージョンにダウングレードできます。それらをお使いの場所(例:Azure Blob ストレージ)にホストし、バイナリを以下の設定を使用して参照してください: WEBSITE_RUN_FROM_PACKAGE 設定。

ただし、SCEPman PowerShell モジュールを使用して内部の配線をアップグレードした場合は注意点があります:2.x は Managed Identities を使用した Graph と Intune への異なる認証方式をサポートしており、これが新しいデフォルトでありスクリプトによって有効化されます。メインコンポーネントをダウングレードすると、新しい認証方式が使用できず、古い方式に必要な設定が欠けるため動作しなくなります。したがって、ダウングレード後はアプリケーション設定を手動で変更する必要があります AppConfig:AuthConfig:ApplicationId および AppConfig:AuthConfig:ApplicationKey。スクリプトは設定のバックアップを作成し、プレフィックスとして Backup:を付与します。したがって、次を名前変更する必要があります Backup:AppConfig:AuthConfig:ApplicationKey を 元に戻し AppConfig:AuthConfig:ApplicationKey 古い値を次からコピーしてください Backup:AppConfig:AuthConfig:ApplicationIdAppConfig:AuthConfig:ApplicationId。その後、1.x はアプリ登録に基づく認証を使用して再び動作します。

最終更新

役に立ちましたか?