Guia Padrão
Isto irá guiá-lo por todas as etapas necessárias para configurar o SCEPman em seu ambiente PoC ou de Produção com base nas nossas melhores práticas.
Implantação no Azure
Vamos começar com os requisitos e uma visão geral dos recursos. Lembre-se de que você precisa planejar um design de recursos do Azure útil.
Pré-requisitos
Obrigatório
Opcional
Visão Geral dos Recursos do Azure
Todos esses recursos são recomendados para um ambiente de produção.
App Service (x2)
Um ambiente virtual do Azure para executar as aplicações SCEPman Core e Cert Master e fornece uma interface para configurar diferentes configurações específicas da aplicação como CNAME, certificado SSL e App Settings.
App Service Plan
Um conjunto virtual de recursos de computação e configurações para o(s) "App Service(s)".
Aqui você pode configurar o nível de preço e o dimensionamento de recursos.
Key Vault
Ferramenta para armazenar com segurança segredos e certificados. A aplicação SCEPman
vai gerar e salvar o certificado raiz no seu Key Vault.
Application Insights
Ferramenta de Gerenciamento de Desempenho de Aplicações (APM) para obter insights das
aplicações e solicitações do SCEPman. Necessário para medir o desempenho
e útil para otimização do serviço.
Conta de armazenamento
Plataforma de armazenamento usada pelo componente Certificate Master do SCEPman para armazenar certos atributos dos certificados de servidor TLS emitidos manualmente para fins de revogação. Opcional:
O "App Service" carregará os artefatos de um URI de blob storage se atualizações manuais estiverem configuradas.
Workspace do Log Analytics
Um armazenamento de logs centralizado e baseado em nuvem. O "App Service" salvará todos
os logs e métricas da plataforma neste workspace.
Regra de Coleta de Dados
Desde a v 3.0 para permitir que o SCEPman escreva logs no Log Analytics Workspace usando a API de Ingestão de Logs da Microsoft
Além disso, se você estiver usando Endpoints Privados, você terá mais sete Recursos do Azure.
Rede Virtual
Os App Services do SCEPman, o Key Vault e a Conta de Armazenamento conectam-se por esta VNET.
Ponto de Extremidade Privado (×2)
Um para o Key Vault e outro para a Conta de Armazenamento. Torna-os acessíveis pela VNET.
Zona DNS Privada (×2)
Uma para o Key Vault e outra para a Conta de Armazenamento. Ambos têm um endereço IP interno na VNET, para o qual possuem um nome em sua respectiva zona DNS privada.
Interface de Rede (×2)
Uma para o Key Vault e outra para a Conta de Armazenamento. Conecta o Ponto de Extremidade Privado à VNET.
Etapas de Configuração
Implantar Serviços Base do SCEPman
Isto é um obrigatório passo.
Para iniciar a implantação, siga nossas instruções de implantação:
implantação no MarketplaceExecutar etapas pós-implantação (Atribuições de Permissão)
Isto é um obrigatório passo.
Para vincular corretamente todos os componentes do SCEPman 2, várias permissões precisam ser atribuídas. Siga estas etapas para estabelecer as conexões relevantes:
Identidades GerenciadasAdicionar permissões do Certificate Master
Isto é um obrigatório etapa para Enterprise Edition clientes. Community Edition os usuários podem pular esta etapa.
O Certificate Master é um recurso da Enterprise Edition que permite aos administradores gerar e revogar certificados manualmente. Siga estas etapas para fornecer acesso ao Certificate Master.
RBAC do Mestre de CertificadosCriar certificado raiz
Isto é um obrigatório passo.
Após a conclusão da implantação e da atribuição de permissões, você precisa criar o certificado raiz para o SCEPman:
CA RaizConfigurar um Domínio Personalizado e Certificado SSL
Para ter seu SCEPman disponível sob seu domínio específico, você precisa criar um Domínio Personalizado no App Service.
Domínio PersonalizadoAtualizações Manuais
Por padrão, o SCEPman adota uma abordagem evergreen em relação às atualizações. Caso você exija controle total sobre as atualizações do SCEPman, configure um slot de implantação conforme descrito no guia a seguir na seção Configuração de Slot de Implantação.
Estratégia de AtualizaçãoImplantar Application Insights
Isto é recomendado passo.
O Application Insights pode ser usado para obter uma visão geral do desempenho do App Service e para obter insights mais profundos sobre o processamento de solicitações do SCEPman. Recomendamos sempre configurar o Application Insights para monitorar, manter e otimizar o App Service.
Application InsightsConfigurar Verificação de Integridade
Isto é recomendado passo.
Podemos configurar uma Verificação de Integridade para o App Service para receber notificações diretas caso o SCEPman pare de funcionar.
Verificação de IntegridadeGarantir que o SCEPman tenha Recursos suficientes
Isto é um obrigatório passo.
Uma vez que você mova o SCEPman para um ambiente de produção, deve garantir que o SCEPman esteja equipado com poder de computação suficiente. Portanto, revise nosso guia de dimensionamento do Azure e atualize o nível do seu Plano do App Service, se necessário. Você pode adiar isso até após a sua fase de PoC ou avaliação.
Dimensionamento do App ServiceConfigurar seus Perfis de Implantação MDM
Isto é um recomendado passo.
Com a conclusão das etapas acima, temos uma implementação SCEPman funcional e agora podemos implantar certificados nos dispositivos.
Use um (ou mais) dos seguintes artigos para implantar certificados com sua solução MDM preferida:
Microsoft IntuneJamf ProOutras Soluções MDMEmitir certificados manualmente ou assinar CSRs usando o Certificate Master
Siga o link abaixo para aprender como emitir certificados TLS de servidor ou outros certificados ou como assinar qualquer CSR usando o componente Certificate Master.
Mestre de CertificadosLast updated
Was this helpful?