🆕 SCEPman SaaS
SCEPman SaaS ist eine vollständig verwaltete SCEPman-Bereitstellung, die vollständig von uns gehostet und gewartet wird. Sie ist als Teil des RADIUSaaS- & SCEPman SaaS Bundles verfügbar, das beide Dienste in einem einzigen Abonnement kombiniert. Dadurch entfällt die Notwendigkeit, eine eigene SCEPman-Instanz einzurichten und zu verwalten, während weiterhin eine nahtlose zertifikatsbasierte Authentifizierung für Ihre RADIUS-Umgebung bereitgestellt wird. Die folgende Anleitung führt Sie durch die ersten Konfigurationsschritte, um Ihre SCEPman SaaS Instanz mit RADIUSaaS zum Laufen zu bringen
Einrichtung SCEPman SaaS
Wenn Sie in Ihrem Tenant bereits eine vorhandene SCEPman Enterprise-Bereitstellung mit RADIUSaaS verwenden, werfen Sie bitte einen Blick in unseren Migrationsleitfaden: Von SCEPman Enterprise migrieren
Registrieren SCEPman SaaS
Mit einer aktivierten SCEPman SaaS Lizenz sehen Sie, dass der Menübereich in Einstellungen > SCEPman Optionen zum Registrieren und Konfigurieren Ihrer SCEPman-CA enthält.
Oben haben Sie die Möglichkeit, den Allgemeiner Name sowie den Organisation Namen für Ihre CA auszuwählen.
Der Common Name und die Organization bilden bei der Registrierung den Betreff des CA-Zertifikats.
Durch Klicken auf Registrierenwird die Einrichtung gestartet und der Status wird oben angezeigt. Nach ein paar Minuten sollte die Bereitstellung abgeschlossen sein und Sie werden sehen, dass das Hauptmenü von RADIUSaaS nun einen Bereich für SCEPman.
Die Status Seite zeigt den aktuellen Zustand der CA und ihrer Integrationen sowie die Endpoint-URLs, die Sie zum Anfordern von Zertifikaten benötigen.
Unter Zertifikate verwalten können Sie ausgestellte Zertifikate durchsuchen, ihre Gültigkeit prüfen und sie bei Bedarf auch widerrufen.
Unter Zertifikate anfordern, können Sie verschiedene Arten von Zertifikaten für die manuelle Registrierung und Installation anfordern oder CSRs signieren.
Werfen Sie einen Blick in die spezielle Certificate Master Dokumentation, um weitere Informationen zu den verschiedenen Arten von Zertifikaten zu erhalten, die Sie hier anfordern können.
Die Aufgaben Bereich zeigt den aktuellen Status des Certificate Master und Links zu den Abschnitten, die durch Ihre Rolle freigegeben sind.
SCEPman ist jetzt bereitgestellt und bereit, Zertifikate auszustellen!
SCEPman mit Ihrem Azure-Tenant verbinden
Sie müssen SCEPman nur dann mit Ihrem Azure-Tenant verbinden, wenn Sie planen, Zertifikate über Intune oder den StaticAAD-Endpoint bereitzustellen.
In den meisten Szenarien möchten Sie, dass SCEPman Zertifikate mithilfe von Intune-SCEP-Profilen ausstellen kann und Zertifikate automatisch widerruft, wenn ein Gerät zum Beispiel gelöscht wurde.
Damit dies wie vorgesehen funktioniert, benötigt SCEPman bestimmte Rollen in Ihrem Tenant. Dies kann entweder durch die Zustimmung zu unserer mandantenfähigen Enterprise-Anwendung oder durch die Bereitstellung einer eigenen App-Registrierung mit den erforderlichen Berechtigungen erfolgen.
Tenant bestätigen
Wir empfehlen den Ansatz über die Admin-Zustimmung / mandantenfähige Enterprise-Anwendung, um eine Verbindung zu Ihrem Azure-Tenant herzustellen, da hierfür kein Clientgeheimnis erforderlich ist, dessen Ablauf überwacht werden muss.
Der erste Schritt des Admin-Zustimmung Ablaufs besteht darin, Ihre Tenant-ID einzugeben und zu bestätigen.
Nach dem Klicken auf Tenant bestätigen werden Sie zur Microsoft-Zustimmungsseite weitergeleitet, um sich zu authentifizieren und diese Anwendung zunächst zu genehmigen:
Durch das Akzeptieren dieser Zustimmung wird die SCEPman SaaS Enterprise-Anwendung Ihrem Tenant hinzugefügt, es werden jedoch noch nicht die erforderlichen Berechtigungen hinzugefügt.
Admin-Zustimmung
Nach der Bestätigung des Tenants führt ein Klick auf Admin-Zustimmung Sie erneut zur Microsoft-Zustimmungsseite und fordert Ihre Bestätigung an, ob der Anwendung die aufgeführten Berechtigungen gewährt werden sollen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie in unseren Security & Privacy Q&As.
SCEPman kann nun eine Verbindung zu Ihrem Azure-Tenant herstellen und Informationen für die Zertifikatsbindung abrufen!
Zertifikats-Endpoints aktivieren
In den meisten Szenarien werden Zertifikate bereitgestellt, indem Intune-SCEP-Zertifikatsprofile verwendet werden, um Geräte dazu zu veranlassen, Zertifikate von SCEPman anzufordern. Um diesen Endpoint zu aktivieren, navigieren Sie erneut zu Einstellungen > SCEPman und aktivieren Sie die Intune-Validierung Einstellung und speichern Sie die Konfiguration:
Compliance-Prüfung
Wie bei SCEPman Enterprise kann SCEPman die Gültigkeit eines Zertifikats bewerten, indem der Compliance-Status eines gebundenen Geräts überprüft wird. Weitere Informationen finden Sie in der SCEPman-Dokumentation zu dieser Einstellung .
Geräteverzeichnis
Die Auswahl des Geräteverzeichnisses hängt von der spezifischen Bindung ab, die Sie im SCEP-Profil wählen:
{{DeviceId}}wird gesucht in Intune{{AAD_DeviceID}}wird gesucht in AAD (Entra ID){{UserPrincipalName}}(UPN) wird gesucht in AAD (Entra ID)
Bitte lesen Sie die SCEPman-Dokumentation für weitere Details zu den Geräteverzeichnissen.
Die Intune-Validierung ist jetzt aktiviert und ihr Zertifikats-Endpoint ist verfügbar!
Zertifikate bereitstellen
Mit aktivierter Intune-Validierung werden Sie feststellen, dass die SCEPman-Statusseite nun eine Endpoint-URL für das Intune MDM anzeigt:
Diese URL wird im Intune-SCEP-Zertifikatsprofil für die SCEP Server URL.
Root Certificate
Stellen Sie sicher, dass Sie vor dem Fortfahren ein Trusted Certificate Profil in Intune erstellen und dann mit dem SCEP-Zertifikat Profil fortfahren sowie das CA-Zertifikat von SCEPman SaaS an Ihre Clients bereitstellen.
SCEPman-Dokumentation: Root Certificate
SCEP Certificate
Der Prozess zum Erstellen des SCEP-Zertifikatsprofils ist identisch mit SCEPman Enterprise.
SCEPman-Dokumentation: SCEP - Intune - Windows
Ihre Clients sollten nun von SCEPman ausgestellte Zertifikate erhalten!
Vertrauen herstellen
Damit Geräte sich mit Zertifikaten Ihrer SCEPman SaaS CA authentifizieren können und Ihre Access Points RadSec-Verbindungen zu Ihrer RADIUSaaS-Instanz herstellen können, müssen Sie ihr CA-Zertifikat vertrauen. Laden Sie dazu zunächst Ihr CA-Zertifikat von der SCEPman > Status Seite.
Heruntergeladenes CA-Zertifikat vorhanden, navigieren Sie zu Einstellungen > Seite „Vertrauenswürdige Zertifikate“ und fügen Sie ein neues Zertifikat hinzu.
Laden Sie Ihre heruntergeladene Zertifikatsdatei hoch und speichern Sie:
RADIUSaaS wird nun eingehende Verbindungen akzeptieren, die Zertifikate verwenden, die von SCEPman ausgestellt wurden!
Verwaltung des RADIUSaaS-Serverzertifikats aktivieren
Nachdem Sie SCEPman SaaSregistriert haben, werden Sie feststellen, dass der SCEPman-Verbindungsbereich unter Einstellungen > Server Settings es Ihnen ermöglicht, ein Zertifikat vorab zu erzeugen und eine Verbindung einzurichten.
An dieser Stelle wurde bereits eine Verbindung zu Ihrer SCEPman-Instanz hergestellt und RADIUSaaS kann Serverzertifikate anfordern. Wie Sie nun am besten fortfahren, hängt davon ab, ob Sie RADIUSaaS zu diesem Zeitpunkt bereits zur Authentifizierung von Clients verwenden oder ob dies eine frische Einrichtung ist.
Zertifikat vorab erzeugen
RADIUSaaS wird ein Serverzertifikat anfordern und es der Liste der Zertifikate hinzufügen, aber es nicht aktivieren oder die automatische Verwaltung nicht einschalten.
Falls Sie derzeit Clients haben, die sich bei RADIUSaaS authentifizieren, können Sie damit überprüfen, ob Ihr WLAN-Profil die korrekten Namen für die Servervalidierung sowie das korrekte Root-Zertifikat für die Servervalidierung verwendet.
Verbindung einrichten
Wenn dies eine frische Einrichtung ist oder nachdem Sie überprüft haben, dass Ihre Clients die korrekten Informationen zur Validierung des Serverzertifikats verwenden, können Sie die automatische Verwaltung des Serverzertifikats aktivieren, indem Sie auf Verbindung einrichten.
klicken. RADIUSaaS wird nun ein Serverzertifikat von SCEPman anfordern, es aktivieren und rechtzeitig vor Ablauf erneuern!
Weitere Zertifikats-Endpoints
Das Einrichten anderer Zertifikats-Endpoints ähnelt der Vorgehensweise bei SCEPman Enterprise. Werfen Sie unbedingt einen Blick in die jeweilige Dokumentation:
Allgemein
SCEPmanJamf
Statische Validierung
Static-AAD-Validierung
DC
Protokolle
Im Protokolle Bereich finden Sie alle Anwendungsprotokolle, die Sie auch in SCEPman Enterprise erwarten würden. Dazu gehören:
Service-Health-Meldungen
Ausgestellte Zertifikate
OCSP-Antworten
Warnungen und Fehler während Validierung und Ausstellung
Zuletzt aktualisiert
War das hilfreich?