# 🆕 SCEPman SaaS
space.vars.SCEPmanSAAS\_ProductName ist eine vollständig verwaltete SCEPman-Bereitstellung, die vollständig von uns gehostet und gewartet wird. Sie ist als Teil des RADIUSaaS- & space.vars.SCEPmanSAAS\_ProductName Bundles verfügbar, das beide Dienste in einem einzigen Abonnement kombiniert. Dadurch entfällt die Notwendigkeit, eine eigene SCEPman-Instanz einzurichten und zu verwalten, während weiterhin eine nahtlose zertifikatsbasierte Authentifizierung für Ihre RADIUS-Umgebung bereitgestellt wird. Die folgende Anleitung führt Sie durch die ersten Konfigurationsschritte, um Ihre space.vars.SCEPmanSAAS\_ProductName Instanz mit RADIUSaaS zum Laufen zu bringen
## Einrichtung space.vars.SCEPmanSAAS\_ProductName
{% hint style="info" %}
Wenn Sie in Ihrem Tenant bereits eine vorhandene SCEPman Enterprise-Bereitstellung mit RADIUSaaS verwenden, werfen Sie bitte einen Blick in unseren Migrationsleitfaden: [migration-von-scepman-enterprise](https://docs.radiusaas.com/de/konfiguration/scepman-saas/migration-von-scepman-enterprise "mention")
{% endhint %}
{% stepper %}
{% step %}
### Registrieren space.vars.SCEPmanSAAS\_ProductName
Mit einer aktivierten space.vars.SCEPmanSAAS\_ProductName Lizenz sehen Sie, dass der Menübereich in **Einstellungen** > **SCEPman** Optionen zum Registrieren und Konfigurieren Ihrer SCEPman-CA enthält.
Oben haben Sie die Möglichkeit, den **Allgemeiner Name** sowie den **Organisation** Namen für Ihre CA auszuwählen.
{% hint style="info" %}
Der Common Name und die Organization bilden bei der Registrierung den Betreff des CA-Zertifikats.
{% endhint %}
Durch Klicken auf **Registrieren**wird die Einrichtung gestartet und der Status wird oben angezeigt. Nach ein paar Minuten sollte die Bereitstellung abgeschlossen sein und Sie werden sehen, dass das Hauptmenü von RADIUSaaS nun einen Bereich für [**SCEPman**](https://docs.radiusaas.com/de/admin-portal/scepman).
{% tabs %}
{% tab title="Status" %}
Die **Status** Seite zeigt den aktuellen Zustand der CA und ihrer Integrationen sowie die Endpoint-URLs, die Sie zum Anfordern von Zertifikaten benötigen.
{% endtab %}
{% tab title="Zertifikate verwalten" %}
Unter **Zertifikate verwalten** können Sie ausgestellte Zertifikate durchsuchen, ihre Gültigkeit prüfen und sie bei Bedarf auch widerrufen.
{% endtab %}
{% tab title="Zertifikate anfordern" %}
Unter **Zertifikate anfordern**, können Sie verschiedene Arten von Zertifikaten für die manuelle Registrierung und Installation anfordern oder CSRs signieren.
{% hint style="info" %}
Werfen Sie einen Blick in die spezielle [Certificate Master](https://docs.scepman.com/certificate-management/certificate-master) Dokumentation, um weitere Informationen zu den verschiedenen Arten von Zertifikaten zu erhalten, die Sie hier anfordern können.
{% endhint %}
{% endtab %}
{% tab title="Aufgaben" %}
Die **Aufgaben** Bereich zeigt den aktuellen Status des Certificate Master und Links zu den Abschnitten, die durch Ihre Rolle freigegeben sind.
{% endtab %}
{% endtabs %}
{% hint style="success" %}
SCEPman ist jetzt bereitgestellt und bereit, Zertifikate auszustellen!
{% endhint %}
{% endstep %}
{% step %}
### SCEPman mit Ihrem Azure-Tenant verbinden
{% hint style="info" %}
Sie müssen SCEPman nur dann mit Ihrem Azure-Tenant verbinden, wenn Sie planen, Zertifikate über Intune oder den StaticAAD-Endpoint bereitzustellen.
{% endhint %}
In den meisten Szenarien möchten Sie, dass SCEPman Zertifikate mithilfe von Intune-SCEP-Profilen ausstellen kann und Zertifikate automatisch widerruft, wenn ein Gerät zum Beispiel gelöscht wurde.
Damit dies wie vorgesehen funktioniert, benötigt SCEPman bestimmte Rollen in Ihrem Tenant. Dies kann entweder durch die Zustimmung zu unserer mandantenfähigen Enterprise-Anwendung oder durch die Bereitstellung einer eigenen App-Registrierung mit den erforderlichen Berechtigungen erfolgen.
#### Tenant bestätigen
{% hint style="info" %}
Wir empfehlen den Ansatz über die Admin-Zustimmung / mandantenfähige Enterprise-Anwendung, um eine Verbindung zu Ihrem Azure-Tenant herzustellen, da hierfür kein Clientgeheimnis erforderlich ist, dessen Ablauf überwacht werden muss.
{% endhint %}
Der erste Schritt des **Admin-Zustimmung** Ablaufs besteht darin, Ihre Tenant-ID einzugeben und zu bestätigen.
Nach dem Klicken auf **Tenant bestätigen** werden Sie zur Microsoft-Zustimmungsseite weitergeleitet, um sich zu authentifizieren und diese Anwendung zunächst zu genehmigen:
Durch das Akzeptieren dieser Zustimmung wird die space.vars.SCEPmanSAAS\_ProductName Enterprise-Anwendung Ihrem Tenant hinzugefügt, es werden jedoch noch nicht die erforderlichen Berechtigungen hinzugefügt.
#### Admin-Zustimmung
Nach der Bestätigung des Tenants führt ein Klick auf **Admin-Zustimmung** Sie erneut zur Microsoft-Zustimmungsseite und fordert Ihre Bestätigung an, ob der Anwendung die aufgeführten Berechtigungen gewährt werden sollen. Weitere Informationen zu den erforderlichen Berechtigungen finden Sie in unseren [Security & Privacy Q\&As](https://docs.radiusaas.com/de/sonstige/faqs/security-and-privacy#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).
{% hint style="success" %}
SCEPman kann nun eine Verbindung zu Ihrem Azure-Tenant herstellen und Informationen für die Zertifikatsbindung abrufen!
{% endhint %}
{% endstep %}
{% step %}
### Zertifikats-Endpoints aktivieren
In den meisten Szenarien werden Zertifikate bereitgestellt, indem Intune-SCEP-Zertifikatsprofile verwendet werden, um Geräte dazu zu veranlassen, Zertifikate von SCEPman anzufordern. Um diesen Endpoint zu aktivieren, navigieren Sie erneut zu **Einstellungen** > **SCEPman** und aktivieren Sie die **Intune-Validierung** Einstellung und speichern Sie die Konfiguration:
#### Compliance-Prüfung
Wie bei SCEPman Enterprise kann SCEPman die Gültigkeit eines Zertifikats bewerten, indem der Compliance-Status eines gebundenen Geräts überprüft wird. Weitere Informationen finden Sie in der [SCEPman-Dokumentation zu dieser Einstellung](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-compliancecheck) .
#### Geräteverzeichnis
Die Auswahl des Geräteverzeichnisses hängt von der spezifischen Bindung ab, die Sie im SCEP-Profil wählen:
* `{{DeviceId}}` wird gesucht in **Intune**
* `{{AAD_DeviceID}}` wird gesucht in **AAD** (Entra ID)
* `{{UserPrincipalName}}` (UPN) wird gesucht in **AAD** (Entra ID)
Bitte lesen Sie die [SCEPman-Dokumentation](https://docs.scepman.com/scepman-configuration/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) für weitere Details zu den Geräteverzeichnissen.
{% hint style="success" %}
Die Intune-Validierung ist jetzt aktiviert und ihr Zertifikats-Endpoint ist verfügbar!
{% endhint %}
{% endstep %}
{% step %}
### Zertifikate bereitstellen
Mit aktivierter Intune-Validierung werden Sie feststellen, dass die SCEPman-Statusseite nun eine Endpoint-URL für das Intune MDM anzeigt:
Diese URL wird im Intune-SCEP-Zertifikatsprofil für die **SCEP Server URL**.
#### Root Certificate
Stellen Sie sicher, dass Sie vor dem Fortfahren ein **Trusted Certificate** Profil in Intune erstellen und dann mit dem **SCEP-Zertifikat** Profil fortfahren sowie das CA-Zertifikat von space.vars.SCEPmanSAAS\_ProductName an Ihre Clients bereitstellen.
[SCEPman-Dokumentation: Root Certificate](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10#root-certificate)
#### SCEP Certificate
Der Prozess zum Erstellen des SCEP-Zertifikatsprofils ist identisch mit SCEPman Enterprise.
[SCEPman-Dokumentation: SCEP - Intune - Windows](https://docs.scepman.com/certificate-management/microsoft-intune/windows-10)
{% hint style="success" %}
Ihre Clients sollten nun von SCEPman ausgestellte Zertifikate erhalten!
{% endhint %}
{% endstep %}
{% endstepper %}
## Vertrauen herstellen
Damit Geräte sich mit Zertifikaten Ihrer space.vars.SCEPmanSAAS\_ProductName CA authentifizieren können und Ihre Access Points RadSec-Verbindungen zu Ihrer RADIUSaaS-Instanz herstellen können, müssen Sie ihr CA-Zertifikat vertrauen. Laden Sie dazu zunächst Ihr CA-Zertifikat von der **SCEPman** > **Status** Seite.
Heruntergeladenes CA-Zertifikat vorhanden, navigieren Sie zu **Einstellungen** > **Seite „Vertrauenswürdige Zertifikate“** und fügen Sie ein neues Zertifikat hinzu.
Laden Sie Ihre heruntergeladene Zertifikatsdatei hoch und speichern Sie:
{% hint style="success" %}
RADIUSaaS wird nun eingehende Verbindungen akzeptieren, die Zertifikate verwenden, die von SCEPman ausgestellt wurden!
{% endhint %}
## Verwaltung des RADIUSaaS-Serverzertifikats aktivieren
Nachdem Sie space.vars.SCEPmanSAAS\_ProductNameregistriert haben, werden Sie feststellen, dass der SCEPman-Verbindungsbereich unter **Einstellungen** > **Server Settings** es Ihnen ermöglicht, ein Zertifikat vorab zu erzeugen und eine Verbindung einzurichten.
An dieser Stelle wurde bereits eine Verbindung zu Ihrer SCEPman-Instanz hergestellt und RADIUSaaS kann Serverzertifikate anfordern. Wie Sie nun am besten fortfahren, hängt davon ab, ob Sie RADIUSaaS zu diesem Zeitpunkt bereits zur Authentifizierung von Clients verwenden oder ob dies eine frische Einrichtung ist.
#### Zertifikat vorab erzeugen
RADIUSaaS wird ein Serverzertifikat anfordern und es der Liste der Zertifikate hinzufügen, aber **es nicht aktivieren oder die automatische Verwaltung nicht einschalten.**
Falls Sie derzeit Clients haben, die sich bei RADIUSaaS authentifizieren, können Sie damit überprüfen, ob Ihr WLAN-Profil die korrekten Namen für die Servervalidierung sowie das korrekte Root-Zertifikat für die Servervalidierung verwendet.
#### Verbindung einrichten
Wenn dies eine frische Einrichtung ist oder nachdem Sie überprüft haben, dass Ihre Clients die korrekten Informationen zur Validierung des Serverzertifikats verwenden, können Sie die automatische Verwaltung des Serverzertifikats aktivieren, indem Sie auf **Verbindung einrichten**.
{% hint style="success" %}
klicken. RADIUSaaS wird nun ein Serverzertifikat von SCEPman anfordern, es aktivieren und rechtzeitig vor Ablauf erneuern!
{% endhint %}
## Weitere Zertifikats-Endpoints
Das Einrichten anderer Zertifikats-Endpoints ähnelt der Vorgehensweise bei SCEPman Enterprise. Werfen Sie unbedingt einen Blick in die jeweilige Dokumentation:
#### Allgemein
{% content-ref url="../admin-portal/settings/scepman" %}
[scepman](https://docs.radiusaas.com/de/admin-portal/settings/scepman)
{% endcontent-ref %}
#### Jamf
{% embed url="" %}
#### Statische Validierung
{% embed url="" %}
#### Static-AAD-Validierung
{% embed url="" %}
#### DC
{% embed url="" %}
## Protokolle
Im **Protokolle** Bereich finden Sie alle Anwendungsprotokolle, die Sie auch in SCEPman Enterprise erwarten würden. Dazu gehören:
* Service-Health-Meldungen
* Ausgestellte Zertifikate
* OCSP-Antworten
* Warnungen und Fehler während Validierung und Ausstellung
