implantação empresarial
Implantação via GitHub
A implantação do SCEPman 2.x é diferente da implantação do SCEPman 1.x. Se você quiser instalar uma nova instância do SCEPman 2.x ou atualizar sua instância 1.x existente, continue lendo.
Nova instância do SCEPman 2.0
Implantar Recursos do Azure
Faça login com uma conta de administrador do AAD e visite este site, escolha e clique em um dos seguintes links de implantação:
Canal de produção na nuvem nacional 21Vianet (Experimental!)
Preencha os valores no formulário
Assinatura: Selecione sua assinatura, onde você tem permissões para criar App Services, conta de armazenamento, plano de App Service e key vault
Grupo de recursos: Selecione um grupo de recursos existente ou crie um novo. Os recursos do SCEPman serão implantados neste grupo de recursos
Região: Selecione a região de acordo com sua localização
Nome da Organização: Nome da sua empresa ou organização para o nome do assunto do certificado CA (RDN O)
Para maximizar a compatibilidade, para o Nome da Organização recomendamos omitir
caracteres especiais específicos de idioma (por exemplo ö, ø, é, ...)
um espaço inicial (espaços entre palavras podem ser usados)
aspas
Licença: deixe como "trial" para implantar uma Community Edition ou cole sua chave de licença para a Enterprise Edition do SCEPman.
Tipo de chave CA:
RSA-HSM (recomendado, CA raiz com suporte HSM)
RSA (CA raiz com suporte por software)
Para o Nome da Conta de Armazenamento, por favor note que o nome deve ter entre 3 e 24 caracteres de comprimento e pode conter apenas números e letras minúsculas
Defina um globalmente nome único para o Nome do Key Vault, Nome do Plano de App Service, Nome do App Service Principal, Nome do Workspace do Log Analytics, Nome do App Service do Certificado Master, Nome da Rede Virtual, Endpoint Privado para Nome do Key Vault e Endpoint Privado para Armazenamento de Tabela. Substitua NOMEUNICO por um valor que dê uma ideia do nome da sua organização.
Caso você tenha implantado anteriormente o SCEPman com o mesmo Nome do Key Vault, e excluído todos os recursos da implantação anterior, certifique-se de recuperar o Key Vault previamente excluído. Ele reaparecerá no grupo de recursos anterior. A implantação ARM - se apontada para o mesmo grupo de recursos - reconhecerá o Key Vault existente e o reutilizará. Uma exclusão completa do Key Vault anterior não é viável devido à Proteção contra Purga por 90 dias.
ID do Plano de App Service existente: Forneça o ID do Plano de App Service de um Plano de App Service existente ou mantenha o valor padrão 'none' se você quiser criar um novo
Para encontrar seu ID do Plano de App Service existente: navegue até seu Plano de App Service existente > Visualização JSON > copie o ID do Recurso (veja as capturas de tela)
Implantar no Linux:
true (implanta o SCEPman em um Plano de App Service no Linux)
false (implanta em um Plano de App Service do Windows)
Implantar Rede Privada:
true (recomendado, isola o key vault e a conta de armazenamento atrás de endpoints privados para que apenas o SCEPman possa acessá-los do ponto de vista de rede)
false (key vault e conta de armazenamento podem ser acessados de qualquer endereço IP)
Localização: de todos os recursos, o valor padrão
[resourceGroup().location]é a recomendação da Microsoft, você pode deixá-lo como estáRever + criar, então Criar
Após uma implantação bem-sucedida do SCEPman 2.x, por favor siga o Identidades Gerenciadas artigo
Atualizar de 1.x para 2.x
O SCEPman 2.0 compreende dois recursos adicionais do Azure, uma conta de Armazenamento do Azure e um App Service chamado "Cert Master". Estes são usados para emitir e gerenciar os certificados de servidor. Mas você também pode executar o SCEPman 2.0 sem eles se você optar apenas pelos certificados de cliente como antes.
Se você ainda estiver executando o SCEPman 1.x, certifique-se de que sua instância use artefatos de aplicação 2.x conforme descrito aqui: Artefatos da Aplicação.
Por favor reinicie seu App Service em seguida.
Adicionar SCEPman Cert Master
Antes de adicionar o componente Cert Master através do script PowerShell mencionado abaixo, o serviço base existente do SCEPman deve ser atualizado para a versão >= 2.0 conforme descrito no parágrafo anterior.
Se você quiser usar o novo componente SCEPman Cert Master para emitir certificados de servidor, precisa adicionar os recursos adicionais do Azure e configurá-los. Isso permitirá autenticação como Identidade Gerenciada; uma vantagem disso é que você não precisa mais de segredos de aplicação. Assim, você também não precisa se preocupar com a expiração de segredos de aplicação! É assim que você faz:
Após atualizar o componente principal, você precisa seguir o guia de Configuração Pós-Instalação. Em contraste com uma nova instalação, isto também criará os dois novos recursos do Azure.
Rebaixar de 2.x para 1.x
Você pode rebaixar para qualquer versão anterior do SCEPman baixando os artefatos mais antigos, hospedando-os em seu local, por exemplo Azure Blob Storage, e então referenciando os binários usando a WEBSITE_RUN_FROM_PACKAGE configuração.
No entanto, se você também usou o módulo PowerShell do SCEPman para atualizar a configuração interna, há uma advertência: 2.x suporta uma forma diferente de autenticação com o Graph e o Intune usando Identidades Gerenciadas, que também é o novo padrão e que é habilitado pelo script. Se você rebaixar seu componente principal, ele não poderá usar a nova forma de autenticação e estará faltando uma configuração para a antiga, então não funcionará mais. Assim, após um rebaixamento, você deve alterar manualmente as configurações de aplicação AppConfig:AuthConfig:ApplicationId e AppConfig:AuthConfig:ApplicationKey. O script cria backups das configurações prefixando Backup:. Assim, você precisa renomear Backup:AppConfig:AuthConfig:ApplicationKey de volta para AppConfig:AuthConfig:ApplicationKey e copiar o valor antigo de Backup:AppConfig:AuthConfig:ApplicationId para AppConfig:AuthConfig:ApplicationId. Então o 1.x funcionará novamente usando autenticação baseada em Registros de Aplicação.
Last updated
Was this helpful?