Geral

Como adicionar uma Chave de Licença?

Para atualizar uma Edição Community para uma Edição Enterprise, você precisa adicionar a chave de licença nas configurações do aplicativo. Como isso funciona é explicado no capítulo seguinte:

Navegar para App Services.
Em seguida, escolha seu aplicativo SCEPman.
Em seguida, em Configurações clique em Variáveis de ambiente.
Selecione AppConfig:LicenseKey.
Em Valor, insira sua chave de licença.

Então, Salvar as configurações e, em Visão Geral, reinicie seu Serviço de Aplicativo.
Certifique-se de que a página inicial do SCEPman agora mostre o balão Enterprise Edition e que todos os serviços estejam Conectados. Se houver problemas de conexão, o balão ficará vermelho e seu respondedor OCSP não funcionará.
Ajuste RBAC do Certificate Master permissões para obter acesso ao seu Certificate Master.

Como consultar programaticamente a Tabela da Conta de Armazenamento?

Para alguns casos de uso, pode ser necessário consultar diretamente a tabela da conta de armazenamento. Isso pode ser feito manualmente usando o Azure Storage Explorer ou programaticamente usando a Azure Storage Rest API. Atribua o Storage Table Data Reader papel à conta que você está usando. Aqui está um exemplo de consulta que retorna todos os certificados na Conta de Armazenamento que expiram nos próximos 30 dias:

$SCEPManStorageAccountName = "stgscepmanabc"  # Insira aqui o nome da sua Conta de Armazenamento SCEPman
$expiresBefore = (Get-Date).AddDays(30).ToString("yyyy-MM-ddTHH:mm:ssZ")  # Encontre todos os certificados que expiram antes desta data
$now = (Get-Date).ToString("yyyy-MM-ddTHH:mm:ssZ")                        # e                   que expiram depois desta data

$certificatesJson = az storage entity query --table-name Certificates --account-name $SCEPManStorageAccountName --auth-mode login --filter "ExpirationDate lt datetime'$expiresBefore' and ExpirationDate gt datetime'$now' and Revoked eq false"
$certificates = $certificatesJson | ConvertFrom-Json

$certificates.items | Select-Object -Property Subject,Requester,ExpirationDate,FQDNs

O Azure CLI deve estar instalado na máquina onde a consulta é executada, e deve estar conectado à conta e assinatura corretas. Isso é automaticamente o caso para um Azure Cloud Shell.

Se você estiver usando um Private Endpoint para a Conta de Armazenamento, você precisa adicionar o endereço IP do seu cliente à lista de exceções no painel Rede da Conta de Armazenamento.

Como restringir o acesso público à página inicial do SCEPman?

A página inicial do SCEPman não inclui informações sensíveis, e invasores não podem aproveitar os dados disponíveis para fins maliciosos.

No entanto, se você preferir ocultar a página inicial do acesso público, você pode fazê-lo usando a configuração AppConfig:AnonymousHomePageAccess

Por favor, certifique-se de reiniciar o Serviço de Aplicativo do SCEPman após adicionar a configuração.

Como alterar o Subject da Root CA do SCEPman?

Ao alterar o Subject da CA, você deve emitir uma nova Root CA e implantá-la para todos os usuários, E implantar novamente todos os certificados de cliente/dispositivo. Os certificados antigos então deixarão de ser válidos.

Se isso não for um problema para você, siga os passos abaixo para alterar o subject da CA

Navegue até a configuração do seu Serviço de Aplicativo SCEPman
Altere o valor CN da configuração AppConfig:KeyVaultConfig:RootCertificateConfig:Subject para o novo nome de subject que você deseja
Também é recomendado alterar o valor da configuração AppConfig:KeyVaultConfig:RootCertificateConfig:CertificateName para o novo nome de subject, entretanto, isto é visível apenas no Azure KeyVault e não no próprio certificado.

O nome não aparece no próprio certificado e é apenas uma referência ao certificado CA dentro do Azure Key Vault. Como faz parte da URL, há restrições de nome, como limitações a caracteres alfanuméricos, números e hífens. Espaços não são permitidos

Após alterar ambos os valores, salve e reinicie o Serviço de Aplicativo
Navegue até a página inicial do seu SCEPman e emita uma nova Root CA conforme descrito aqui
Baixe a nova Root CA e faça upload para seu Perfil, então reimplante os certificados de cliente novamente para obter o novo subject

Como visualizar certificados SCEP no Intune?

Para visualizar certificados emitidos pelo SCEPman no Intune, navegue até certificados no módulo Monitor do Intune:

Intune > Devices > Monitor > Certificates

Lá você encontrará uma lista de todos os certificados emitidos com detalhes como nome do dispositivo, nome do usuário, impressão digital, número de série, nome do subject, data de emissão, data de expiração e status do certificado.

Para uma visualização mais abrangente dos certificados juntamente com ações adicionais, revise os certificados em Certificate Master.

Qual é a validade da Root CA do SCEPman? Pode ser estendida/renovada?

A Root CA do SCEPman tem validade de 10 anos. Uma vez expirada, o SCEPman precisará ser reimplantado e atualmente não existe método para estender a validade além de 10 anos ou renovar a Root CA existente. Uma reimplantação tem a vantagem de que a nova Root CA estará de acordo com os padrões de segurança (tamanho da chave, algoritmos etc.) que serão relevantes naquele momento no futuro.

Last updated 9 months ago

Was this helpful?

Good night

hashtagComo adicionar uma Chave de Licença?

hashtagComo consultar programaticamente a Tabela da Conta de Armazenamento?

hashtagComo restringir o acesso público à página inicial do SCEPman?

hashtagComo alterar o Subject da Root CA do SCEPman?

hashtagComo visualizar certificados SCEP no Intune?

hashtagQual é a validade da Root CA do SCEPman? Pode ser estendida/renovada?