circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Configuração Geral

Para permitir que o SCEPman processe com sucesso solicitações SOAP recebidas, precisamos executar alguns passos:

1

hashtag
Garantir Domínio Personalizado e BaseUrl

Para autenticação bem-sucedida com o SCEPman, garanta que um domínio personalizado usando um registro A aponte para o serviço do aplicativo. Caso contrário, o cliente não conseguirá solicitar um ticket Kerberos válido ao controlador de domínio.

circle-info

Veja abaixo o problema conhecido sobre WS_E_ENDPOINT_ACCESS_DENIED para mais informações sobre isso.

Certifique-se de que o SCEPman esteja configurado para ser acessível usando um domínio personalizado:

Domínio Personalizadochevron-right

O mesmo requisito também se aplica após a solicitação inicial de política (listagem dos modelos de certificado) para inscrição de certificados. Para permitir uma autenticação bem-sucedida aqui, certifique-se também de configurar a variável AppConfig:BaseUrl para o seu domínio personalizado ou use a configuração dedicada AppConfig:ActiveDirectory:BaseUrl se for necessário que o endpoint do AD seja acessível em uma URL diferente das outras endpoints do SCEPman.

2

hashtag
Criar Principal de Serviço

Use o New-SCEPmanADPrincipal Cmdlet do módulo Powershell do SCEPman para criar o principal de serviço no seu domínio Active Directory local (on-prem). Ele também exportará um keytab desta conta e o criptografará com o certificado CA do SCEPman.

Você pode executar esse comando em um controlador de domínio ou em um servidor associado ao domínio que tenha instalado o recurso RSAT-AD-Tools Você também precisará das seguintes permissões na OU onde deseja criar o principal:

Na própria OU:

  • Criar objetos de computador

Nos objetos de computador descendentes:

  • Redefinir senha

  • gravar msDS-SupportedEncryptionTypes

  • gravar servicePrincipalName

  • gravar userPrincipalName

A variante abaixo também exige acesso de rede HTTPS de saída à sua instância SCEPman.

circle-info

Se o seu computador com acesso a um Controlador de Domínio não tiver acesso de rede, existem variantes do CMDlet que funcionam sem ele, mas exigem alguma preparação adicional, especialmente o download do certificado CA do SCEPman e a cópia para a máquina que executa o CMDlet.

A execução deste comando realizará o seguinte:

  1. Criar um objeto de computador na OU=Example,DC=contoso,DC=com Unidade Organizacional.

  2. Baixar o certificado CA do SCEPman para criptografar o keytab no passo 5.

  3. Adicionar um nome principal de serviço (SPN) ao objeto de computador.

  4. Criar um keytab para a conta de computador contendo a chave de criptografia baseada na senha do computador.

  5. Criptografar o keytab com o certificado CA do SCEPman, de modo que apenas o SCEPman possa descriptografá-lo novamente usando a chave privada da CA.

  6. Gerar a saída do keytab criptografado, para que possa ser transferido para a configuração do SCEPman.

A saída codificada em Base64 deve então ser transferida para a variável de ambiente AppConfig:ActiveDirectory:Keytab do seu serviço de aplicativo SCEPman.

3

hashtag
Adicionar Keytab ao SCEPman

A integração pode ser facilmente habilitada adicionando as seguintes variáveis de ambiente no Serviço de Aplicativo SCEPman. Dependendo do seu caso de uso, habilite um ou mais dos modelos de certificado disponíveis:

Exemplo com todos os modelos de certificado habilitados:

Configuração
Valor

AppConfig:ActiveDirectory:Keytab

Keytab codificado em Base64 para o principal de serviço criado no Passo 1

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

hashtag
Problemas Conhecidos

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Erro: WS_E_ENDPOINT_ACCESS_DENIED 
Hex: 0x803d0005
Dec: -2143485947

Sabe-se que este erro ocorre durante a validação do servidor CEP quando você está usando os URIs padrão do serviço de aplicativo do Azure. Esse erro é causado pelo protocolo Kerberos solicitando um nome principal de serviço do registro A do serviço que será acessado. No caso dos domínios padrão do serviço de aplicativo, por exemplo contoso.azurewebsites.net é apenas um CNAME e aponta para um registro A semelhante a:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

Como esse registro A de um host de infraestrutura não é garantido ser consistente no futuro, adicionar um nome principal de serviço para esse host não é recomendado.

Certifique-se de adicionar um domínio personalizado ao seu serviço de aplicativo e use um registro A no seu provedor DNS para apontá-lo para o serviço de aplicativo em vez de um CNAME.

Domínio Personalizadochevron-right

hashtag
ERROR_INVALID_PARAMETER

Erro: ERROR_INVALID_PARAMETER
Hex: 0x80070057
Dec: -2147024809

Esse erro ocorre durante o registro do servidor CEP se você inserir um URI que começa com http://. Certifique-se de registrar um servidor CEP usando apenas https://

hashtag
ERROR_ACCESS_DENIED

Ao registrar um servidor CEP no contexto da máquina, o usuário em ação (a conta que iniciou gpmc.msc) precisa ser membro do grupo de Administradores locais no computador enquanto edita a GPO.

Certifique-se de iniciar gpmc.msc com permissões elevadas neste caso.

Last updated

Was this helpful?