implementação Enterprise
Implementação via GitHub
A implantação do SCEPman 2.x é diferente de uma implantação do SCEPman 1.x. Se você quiser instalar uma nova instância do SCEPman 2.x ou atualizar sua instância existente 1.x, continue lendo.
Nova instância do SCEPman 2.0
Implantar recursos do Azure
Entre com uma conta de administrador do AAD e visite este site, escolha e clique em um dos seguintes links de implantação:
Canal de produção na nuvem nacional 21Vianet (Experimental!)
Preencha os valores no formulário
Assinatura: Selecione sua assinatura, na qual você tem permissões para criar app services, storage account, plano de serviço de app e key vault
Grupo de recursos: Selecione um grupo de recursos existente ou crie um novo. Os recursos do SCEPman serão implantados neste grupo de recursos
Região: Selecione a região de acordo com a sua localização
Nome da organização: Nome da sua empresa ou organização para o nome do assunto do certificado CA (O RDN)
Para maximizar a compatibilidade, para o Nome da organização recomendamos omitir
caracteres especiais específicos de idioma (por exemplo, ö, ø, é, ...)
um espaço à esquerda (espaços entre palavras podem ser usados)
aspas
Licença: deixe como "trial" para implantar uma Community Edition ou cole sua chave de licença para a Enterprise Edition do SCEPman.
Tipo de chave CA:
RSA-HSM (recomendado, CA raiz com suporte de HSM)
RSA (CA raiz com suporte de software)
Para o Nome da Storage Account, observe que o nome deve ter entre 3 e 24 caracteres e pode conter apenas números e letras minúsculas
Defina um nome globalmente único para o Nome do Key Vault, Nome do App Service Plan, Nome principal do App Service, Nome do Log Analytics Workspace, Nome do App Service mestre de certificados, Nome da rede virtual, Nome do endpoint privado para o Key Vault e Endpoint privado para o Table Storage. Substitua UNIQUENAME por um valor que faça referência ao nome da sua organização.
Caso você tenha implantado anteriormente o SCEPman com o mesmo Nome do Key Vault, e excluído todos os recursos da implantação anterior, certifique-se de recuperar o Key Vault excluído anteriormente. Ele reaparecerá no grupo de recursos anterior. A implantação ARM — se apontada para o mesmo grupo de recursos — reconhecerá o Key Vault existente e o reutilizará. Uma exclusão completa do Key Vault anterior não é viável devido à Proteção contra exclusão permanente por 90 dias.
ID do App Service Plan existente: Forneça o ID do App Service Plan de um App Service Plan existente ou mantenha o valor padrão 'none' se quiser criar um novo
Para encontrar seu ID do App Service Plan existente: navegue até o seu App Service Plan existente > Exibição JSON > copie o ID do recurso (veja as capturas de tela)
Implantar no Linux:
true (implanta o SCEPman em um App Service Plan do Linux)
falso (implanta em um App Service Plan do Windows)
Implantar rede privada:
true (recomendado, isola o key vault e a storage account atrás de endpoints privados para que apenas o SCEPman possa acessá-los do ponto de vista de rede)
falso (o key vault e a storage account podem ser acessados a partir de qualquer endereço IP)
Localização: de todos os recursos, o valor padrão
[resourceGroup().location]é a recomendação da Microsoft, você pode simplesmente deixá-lo como estáRevisar + criar, depois Criar
Após uma implantação bem-sucedida do SCEPman 2.x, siga o Identidades gerenciadas artigo
Atualização de 1.x para 2.x
O SCEPman 2.0 inclui dois recursos adicionais do Azure, uma conta de armazenamento do Azure e um App Service chamado "Cert Master". Eles são usados para emitir e gerenciar os certificados de servidor. Mas você também pode executar o SCEPman 2.0 sem eles, se quiser apenas os certificados de cliente, como antes.
Se você ainda estiver executando o SCEPman 1.x, certifique-se de que sua instância use os artefatos de aplicativo 2.x conforme descrito aqui: Artefatos da aplicação.
Por favor, reinicie seu App Service depois.
Adicionar SCEPman Cert Master
Antes de adicionar o componente Cert Master por meio do script PowerShell mencionado abaixo, o serviço base existente do SCEPman deve ser atualizado para a versão >= 2.0, conforme descrito no parágrafo anterior.
Se você quiser usar o novo componente SCEPman Cert Master para emitir certificados de servidor, é necessário adicionar os recursos adicionais do Azure e configurá-los. Isso habilitará a autenticação como Identidade Gerenciada; uma vantagem disso é que você não precisa mais de segredos de aplicativo. Portanto, você também não precisa se preocupar com a expiração dos segredos de aplicativo! Veja como fazer isso:
Após atualizar o componente principal, você precisa seguir o guia de Configuração pós-instalação. Em contraste com uma nova instalação, isso também criará os dois novos recursos do Azure.
Rebaixar de 2.x para 1.x
Você pode fazer downgrade para qualquer versão mais antiga do SCEPman baixando os artefatos antigos, hospedando-os em seu local, por exemplo, Azure Blob Storage, e então referenciando os binários usando a configuração WEBSITE_RUN_FROM_PACKAGE .
No entanto, se você também usou o módulo PowerShell do SCEPman para atualizar a configuração interna, há uma ressalva: a versão 2.x suporta uma forma diferente de autenticação para Graph e Intune usando Identidades Gerenciadas, que também é o novo padrão e que é habilitada pelo script. Se você fizer downgrade do componente principal, ele não conseguirá usar a nova forma de autenticação e estará sem uma configuração para a antiga, então não funcionará mais. Portanto, após um downgrade, você deve alterar manualmente as configurações da aplicação AppConfig:AuthConfig:ApplicationId e AppConfig:AuthConfig:ApplicationKey. O script cria backups das configurações adicionando o prefixo Backup:. Portanto, você precisa renomear Backup:AppConfig:AuthConfig:ApplicationKey de volta para AppConfig:AuthConfig:ApplicationKey e copiar o valor antigo de Backup:AppConfig:AuthConfig:ApplicationId para AppConfig:AuthConfig:ApplicationId. Então a versão 1.x voltará a funcionar usando autenticação baseada em App Registrations.
Last updated
Was this helpful?