circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Configuração Geral

Para permitir que o SCEPman processe solicitações SOAP recebidas com sucesso, precisamos tomar alguns passos:

1

hashtag
Criar Principal de Serviço

Use o New-SCEPmanADPrincipal Cmdlet do módulo PowerShell SCEPman para criar o principal de serviço em seu domínio Active Directory local. Também exportará um keytab desta conta e o criptografará com o certificado CA do SCEPman.

Execute este Cmdlet com uma conta que tenha permissões de Administrador de Domínio e acesso de rede a um Controlador de Domínio. A variante abaixo também exige acesso de rede HTTPS de saída à sua instância do SCEPman.

circle-info

Se seu computador com acesso a um Controlador de Domínio não tiver acesso de rede, existem variantes do CMDlet que funcionam sem ele, mas exigem alguma preparação adicional, especialmente o download do certificado CA do SCEPman e a cópia para a máquina que executa o CMDlet.

Executar este comando realizará o seguinte:

  1. Criar um objeto de computador em OU=Example,DC=contoso,DC=com Unidade Organizacional.

  2. Baixar o certificado CA do SCEPman para criptografar o keytab na etapa 5.

  3. Adicionar um nome principal de serviço (SPN) ao objeto de computador.

  4. Criar um keytab para a conta de computador contendo a chave de criptografia baseada na senha do computador.

  5. Criptografar o keytab com o certificado CA do SCEPman, para que somente o SCEPman possa descriptografá-lo novamente usando a chave privada da CA.

  6. Exportar o keytab criptografado, para que possa ser transferido para a configuração do SCEPman.

A saída codificada em Base64 deve então ser transferida para a variável de ambiente AppConfig:ActiveDirectory:Keytab do seu serviço de aplicativo SCEPman.

2

hashtag
Adicionar Keytab ao SCEPman

A integração pode ser facilmente habilitada adicionando as seguintes variáveis de ambiente no Serviço de Aplicativo SCEPman. Dependendo do seu caso de uso, habilite um ou mais dos modelos de certificado disponíveis:

Exemplo com todos os modelos de certificado habilitados:

Configuração
Valor

AppConfig:ActiveDirectory:Keytab

Keytab codificado em Base64 para o principal de serviço criado na Etapa 1

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

3

hashtag
Garantir Domínio Personalizado e BaseUrl

Para autenticação bem-sucedida com o SCEPman, garanta que um domínio personalizado usando um registro A esteja apontado para o serviço de aplicativo. Caso contrário, o cliente falhará ao solicitar um ticket Kerberos válido ao controlador de domínio.

circle-info

Veja abaixo o problema conhecido sobre WS_E_ENDPOINT_ACCESS_DENIED para mais informações sobre isso.

Garanta que o SCEPman esteja configurado para ser acessível usando um domínio personalizado:

Domínio Personalizadochevron-right

O mesmo requisito também se aplica após a solicitação inicial de política (listagem dos modelos de certificado) para registrar certificados. Para permitir uma autenticação bem-sucedida aqui, certifique-se de também configurar a AppConfig:BaseUrl variável para seu domínio personalizado ou use a dedicada AppConfig:ActiveDirectory:BaseUrl configuração caso exija que o Endpoint AD seja acessível em uma URL diferente das suas outras endpoints do SCEPman.

hashtag
Problemas Conhecidos

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Erro: WS_E_ENDPOINT_ACCESS_DENIED 
Hex: 0x803d0005
Dec: -2143485947

Sabe-se que este erro ocorre durante a validação do servidor CEP quando você está usando os URIs padrão do serviço de aplicativo do Azure. Este erro é causado pelo protocolo Kerberos solicitando um nome principal de serviço do registro A do serviço que será acessado. No caso dos domínios padrão do serviço de aplicativo, por exemplo contoso.azurewebsites.net é apenas um CNAME e aponta para um registro A semelhante a:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com

Como este registro A de um host de infraestrutura não é garantido ser consistente no futuro, adicionar um nome principal de serviço para este host é não recomendado.

Certifique-se de adicionar um domínio personalizado ao seu serviço de aplicativo e usar um registro A no seu provedor de DNS para apontá-lo ao serviço de aplicativo em vez de um CNAME.

Domínio Personalizadochevron-right

hashtag
ERROR_INVALID_PARAMETER

Erro: ERROR_INVALID_PARAMETER
Hex: 0x80070057
Dec: -2147024809

Este erro ocorre durante o registro do servidor CEP se você inserir um URI que comece com http://. Certifique-se de registrar um servidor CEP apenas usando https://

hashtag
ERROR_ACCESS_DENIED

Ao registrar um servidor CEP no contexto da máquina, o usuário atuante (a conta que iniciou gpmc.msc) precisa ser membro do grupo Administradores locais no computador enquanto edita a GPO.

Certifique-se de iniciar gpmc.msc com permissões elevadas neste caso.

Last updated

Was this helpful?