# 一般

## ライセンスキーを追加する方法は？

Community Edition を Enterprise Edition にアップグレードするには、アプリ設定にライセンスキーを追加する必要があります。これがどのように機能するかは、次の章で説明します：

1. に移動する **App Services**.
2. 次に、SCEPman アプリを選択します。
3. 次に **Settings** で **Environment variables**.
4. を選択します [**AppConfig:LicenseKey**](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/basics#appconfig-licensekey).
5. の下に **値**、ライセンスキーを入力します。

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FWUw36MkAk4UZGN6eICea%2Fimage.png?alt=media&#x26;token=d49abc04-cea9-40cd-8a82-691c213c7c00" alt=""><figcaption></figcaption></figure>

6. その後、 **保存** 設定を行い、\[概要] の下で **再起動** してください。
7. SCEPman のホームページに Enterprise Edition のバブルが表示され、すべてのサービスが Connected であることを確認してください。接続に問題がある場合、バブルは赤く表示され、OCSP レスポンダーは動作しません。\
   ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FGONIyIQKATKJtxPjcNcP%2Fimage.png?alt=media\&token=54f49db2-c593-4cf4-8749-83de54d5bcd2)
8. 調整する [Certificate Master RBAC](https://docs.scepman.com/ja/scepman-gou-cheng/rbac) 権限を調整して、Certificate Master へのアクセス権を取得します。

## Storage Account テーブルをプログラムでクエリする方法は？

一部のユースケースでは、Storage Account テーブルを直接クエリする必要がある場合があります。これは、手動では [Azure Storage Explorer](https://azure.microsoft.com/en-us/features/storage-explorer/) を使用するか、プログラムでは [Azure Storage Rest API](https://docs.microsoft.com/en-us/rest/api/storageservices/query-entities)を使用して行えます。使用しているアカウントに `Storage Table Data Reader` ロールを割り当ててください。以下は、Storage Account 内で今後 30 日以内に期限切れとなるすべての証明書を返すクエリの例です：

```powershell
$SCEPManStorageAccountName = "stgscepmanabc"  # ここに SCEPman の Storage Account 名を挿入してください
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # この日付より前に期限切れとなるすべての証明書を検索します
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # そして                   この日付より後に期限切れとなるもの

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs
```

Azure CLI は、クエリを実行するマシンにインストールされている必要があり、正しいアカウントとサブスクリプションにログオンしている必要があります。Azure Cloud Shell では、これは自動的に満たされています。

を使用している場合 [Private Endpoint ](https://docs.scepman.com/ja/azure-gou-cheng/private-endpoints)を Storage Account に対して使用している場合は、Storage Account の Networking ペインにある例外リストに、クライアントの IP アドレスを追加する必要があります。

## SCEPman のホームページへの公開アクセスを制限する方法は？

SCEPman のホームページには機密情報は含まれておらず、攻撃者が利用可能なデータを悪用することはできません。&#x20;

ただし、ホームページを公開アクセスから非表示にしたい場合は、設定 [AppConfig:AnonymousHomePageAccess](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/basics#appconfig-anonymoushomepageaccess)

を追加した後、SCEPman *App Service* を再起動してください。

## SCEPman Root CA の Subject を変更する方法は？

{% hint style="warning" %}
CA Subject を変更すると、新しい Root CA を発行してすべてのユーザーに展開し、さらにすべてのクライアント/デバイス証明書を再度展開する必要があります。古い証明書はその後無効になります。
{% endhint %}

それでも問題ない場合は、CA subject を変更するために以下の手順に従ってください

* SCEPman App Service の構成に移動します
* 設定の CN 値を変更します [`AppConfig:KeyVaultConfig:RootCertificateConfig:Subject`](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-subject) 希望する新しい Subject 名に
* 設定の値も変更することを推奨します [`AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName`](https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-certificatename) を新しい Subject 名に変更することも推奨されますが、これは Azure KeyVault でのみ表示され、証明書自体には表示されません。

{% hint style="info" %}
この名前は証明書自体には表示されず、Azure Key Vault 内の CA 証明書への参照としてのみ使用されます。URL の一部であるため、英数字、数字、ハイフンの使用制限など、名前に関する制約があります。 **スペースは使用できません**
{% endhint %}

* 両方の値を変更したら、保存して App Service を再起動します
* SCEPman のホームページに移動し、説明どおりに新しい Root CA を発行します [こちら](https://docs.scepman.com/ja/scepman-zhan-kai/first-run-root-cert)
* 新しい Root CA をダウンロードして Profile にアップロードし、その後クライアント証明書を再デプロイして新しい Subject を取得します

## Intune で SCEP 証明書を表示する方法は？

Intune で SCEPman により発行された証明書を表示するには、Intune Monitor モジュールの証明書に移動します：

**Intune > Devices > Monitor > Certificates**

![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7547745551f5bf7a4aff117794d99e0f3d61dc8e%2F2022-07-26%2011_38_54-Window.png?alt=media)

そこには、デバイス名、ユーザー名、サムプリント、シリアル番号、Subject 名、発行日、有効期限、証明書ステータスなどの詳細を含む、発行済み証明書の一覧が表示されます。

追加の操作を含め、証明書をより包括的に表示するには、 [Certificate Master。](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/certificate-master)

## SCEPman Root CA の有効期限は？延長/更新できますか？

SCEPman Root CA の有効期限は 10 年です。有効期限が切れると、SCEPman を再デプロイする必要があり、現時点では有効期限を 10 年を超えて延長したり、既存の Root CA を更新したりする方法はありません。\
再デプロイの利点は、新しい Root CA が将来のその時点で関連するセキュリティ標準（鍵サイズ、アルゴリズムなど）を満たすことです。