# Geral

## Como adicionar uma chave de licença?

Para atualizar uma Community Edition para uma Enterprise Edition, você tem de adicionar a chave de licença nas definições da aplicação. O modo como isto funciona é explicado no capítulo seguinte:

1. Navegue até **App Services**.
2. Depois, escolha a sua app SCEPman.
3. Depois, em **Settings** clique em **Environment variables**.
4. Selecione [**AppConfig:LicenseKey**](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/basics#appconfig-licensekey).
5. Em **Valor**, introduza a sua chave de licença.

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FWUw36MkAk4UZGN6eICea%2Fimage.png?alt=media&#x26;token=d49abc04-cea9-40cd-8a82-691c213c7c00" alt=""><figcaption></figcaption></figure>

6. Depois, **guarde** as definições e, em Overview, **reinicie** o seu App Service.
7. Certifique-se de que a página inicial do SCEPman mostra agora a bolha da Enterprise Edition e de que todos os serviços estão Connected. Se houver problemas de ligação, a bolha ficará vermelha e o seu respondedor OCSP não funcionará.\
   ![](https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FGONIyIQKATKJtxPjcNcP%2Fimage.png?alt=media\&token=54f49db2-c593-4cf4-8749-83de54d5bcd2)
8. Ajuste [Certificate Master RBAC](https://docs.scepman.com/pt/configuracao-do-scepman/rbac) permissões para obter acesso ao seu Certificate Master.

## Como consultar programaticamente a tabela do Storage Account?

Para alguns casos de utilização, pode ser necessário consultar diretamente a tabela da conta de armazenamento. Isto pode ser feito manualmente usando o [Azure Storage Explorer](https://azure.microsoft.com/en-us/features/storage-explorer/) ou programaticamente usando a [Azure Storage Rest API](https://docs.microsoft.com/en-us/rest/api/storageservices/query-entities). Atribua a função `Storage Table Data Reader` à conta que está a utilizar. Aqui está um exemplo de uma consulta que devolve todos os certificados no Storage Account que expiram nos próximos 30 dias:

```powershell
$SCEPManStorageAccountName = "stgscepmanabc"  # Insira aqui o nome da sua Storage Account do SCEPman
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Encontre todos os certificados que expiram antes desta data
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # e                   que expiram depois desta data

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs
```

O Azure CLI tem de estar instalado na máquina onde a consulta é executada e tem de estar autenticado na conta e subscrição corretas. Isto acontece automaticamente no Azure Cloud Shell.

Se estiver a usar um [Private Endpoint ](https://docs.scepman.com/pt/configuracao-do-azure/private-endpoints)para o Storage Account, precisa de adicionar o endereço IP do seu cliente à lista de exceções no painel de Networking do Storage Account.

## Como restringir o acesso público à página inicial do SCEPman?

A página inicial do SCEPman não inclui qualquer informação sensível, e os atacantes não podem tirar partido dos dados disponíveis para fins maliciosos.&#x20;

No entanto, se preferir ocultar a página inicial do acesso público, pode fazê-lo usando a definição [AppConfig:AnonymousHomePageAccess](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/basics#appconfig-anonymoushomepageaccess)

Certifique-se de reiniciar o SCEPman *App Service* após adicionar a definição.

## Como alterar o Subject da Root CA do SCEPman?

{% hint style="warning" %}
Ao alterar o Subject da CA, tem de emitir uma nova Root CA e implementá-la para todos os utilizadores, E voltar a implementar todos os certificados de cliente/dispositivo. Os certificados antigos deixarão então de ser válidos.
{% endhint %}

Se não tiver qualquer problema com isso, siga os passos abaixo para alterar o subject da CA

* Navegue até à configuração do App Service do SCEPman
* Altere o valor CN da definição [`AppConfig:KeyVaultConfig:RootCertificateConfig:Subject`](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-subject) para o novo nome de subject que pretende
* Também é recomendável alterar o valor da definição [`AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName`](https://docs.scepman.com/pt/configuracao-do-scepman/application-settings/dependencies-azure-services/azure-keyvault#appconfig-keyvaultconfig-rootcertificateconfig-certificatename) para o novo nome de subject; no entanto, isto só é visível no Azure KeyVault e não no próprio certificado.

{% hint style="info" %}
O nome não aparece no certificado em si e é apenas uma referência ao certificado CA dentro do Azure Key Vault. Como faz parte do URL, existem restrições de nome, como limitações a caracteres alfanuméricos, números e hífenes. **Não são թույլcidos espaços**
{% endhint %}

* Depois de alterar ambos os valores, guarde e reinicie o App Service
* Navegue até à página inicial do SCEPman e emita uma nova Root CA conforme descrito [aqui](https://docs.scepman.com/pt/implantacao-do-scepman/first-run-root-cert)
* Descarregue a nova Root CA e carregue-a no seu Profile, depois volte a implementar os certificados de cliente para obter o novo subject

## Como ver certificados SCEP no Intune?

Para ver os certificados emitidos pelo SCEPman no Intune, navegue até aos certificados no módulo Intune Monitor:

**Intune > Devices > Monitor > Certificates**

![](https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7547745551f5bf7a4aff117794d99e0f3d61dc8e%2F2022-07-26%2011_38_54-Window.png?alt=media)

Aí encontrará uma lista de todos os certificados emitidos com detalhes como nome do dispositivo, nome do utilizador, thumbprint, número de série, nome do subject, data de emissão, data de expiração e estado do certificado.

Para uma visualização mais abrangente dos certificados, juntamente com ações adicionais, reveja os certificados no [Certificate Master.](https://docs.scepman.com/pt/gerenciamento-de-certificados/certificate-master)

## Qual é a validade da Root CA do SCEPman? Pode ser prolongada/renovada?

A Root CA do SCEPman tem uma validade de 10 anos. Uma vez expirada, o SCEPman terá de ser implementado novamente e, atualmente, não existe nenhum método para prolongar a validade para além de 10 anos ou para renovar a Root CA existente. \
Uma nova implementação tem a vantagem de que a nova Root CA cumprirá os padrões de segurança (tamanho da chave, algoritmos, etc.) relevantes para esse momento no futuro.