# Migration von SCEPman Enterprise Wenn Sie derzeit SCEPman Enterprise in Ihrem eigenen Tenant verwenden und Ihren Infrastruktur-Footprint weiter reduzieren möchten, sollten Sie möglicherweise einen Wechsel zu space.vars.SCEPmanSAAS\_ProductNamein Betracht ziehen, einer vollständig integrierten CA-Lösung, die in RADIUSaaS eingebettet ist. ### Was wird sich ändern?

Was	Änderungen	Bleibt gleich
SCEPman-Hosting	Von uns verwaltet, nicht mehr in Ihrem Azure-Tenant.
SCEPman-URL	Neue Endpunkt-URLs.
RADIUS-Serverzertifikat	Wenn Sie derzeit die SCEPman-Verbindung oder ein von SCEPman ausgestelltes Serverzertifikat verwenden, wird ein neues Serverzertifikat erstellt.	Keine Änderungen, wenn Sie die Customer CA.
Zertifikatsfunktionalität		Zertifikate funktionieren weiterhin genauso wie bisher.
MDM-Integration	SCEP-Zertifikatsprofil(e) müssen auf die neue URL verweisen und ein neues Root-CA-Zertifikat referenzieren.	Der gesamte Integrationsansatz bleibt derselbe.
Endbenutzererfahrung		Keine Auswirkungen, für Endbenutzer transparent.
Vorhandene Zertifikate	Siehe den Abschnitt zu den Migrationsauswirkungen unten.	Gültige Zertifikate funktionieren weiterhin.

### Überlegungen vor der Migration * **Funktionen**: Einige Funktionen von SCEPman Enterprise sind in space.vars.SCEPmanSAAS\_ProductNamenicht verfügbar. Bitte werfen Sie einen Blick in unsere [SCEPman-Editionen im Vergleich](/de/details.md#scepman-edition-comparison) um sicherzustellen, dass alle Ihre Anwendungsfälle abgedeckt sind, bevor Sie mit der Migration beginnen. * **MDM-SCEP-Profile**: Sie müssen Ihre SCEP-Profile aktualisieren, damit sie auf die neue space.vars.SCEPmanSAAS\_ProductName URL verweisen und die neue Root-CA referenzieren. Planen Sie, wie Sie dies ausrollen möchten (alles auf einmal vs. schrittweise). * **Netzwerkumgebung**: Wenn Sie RadSec verwenden, kann die Migration zu space.vars.SCEPmanSAAS\_ProductName bedeuten, dass sich das für die Verbindung verwendete Serverzertifikat ändern kann. * **DNS- oder Firewall-Regeln**: Wenn Sie Netzwerkregeln haben, die an Ihren aktuellen SCEPman-Endpunkt gebunden sind, müssen diese aktualisiert werden. ## Migrationspfad {% stepper %} {% step %} ### Einrichtung space.vars.SCEPmanSAAS\_ProductName Befolgen Sie unsere spezielle Anleitung zur Registrierung: {% content-ref url="/pages/a40900a982825f298ad5ebb02412db44689a4808" %} [🆕 SCEPman SaaS](/de/konfiguration/scepman-saas.md) {% endcontent-ref %} Nach diesem Schritt sollten Sie sich in folgender Situation befinden: * space.vars.SCEPmanSAAS\_ProductName ist registriert, und Ihre Geräte haben geeignete Zertifikate für die Client-Authentifizierung erhalten, die mit RADIUSaaS verwendet werden können (zusätzlich zu den Zertifikaten, die von Ihrer aktuellen SCEPman-Enterprise-Bereitstellung ausgestellt wurden). * space.vars.SCEPmanSAAS\_ProductName-CA-Zertifikat wird von Ihren Geräten vertraut und dem RADIUSaaS-Truststore hinzugefügt. {% endstep %} {% step %} ### Client-Konfiguration überprüfen Clients, die bereits RADIUSaaS verwenden, benötigen die folgenden Anpassungen, wenn Sie zu space.vars.SCEPmanSAAS\_ProductName : * wechseln möchten. Stellen Sie sicher, dass sie der space.vars.SCEPmanSAAS\_ProductName Root-CA-Zertifikat * Passen Sie das WLAN-Profil an, um zusätzlich zur aktuellen SCEPman-Enterprise-Root das space.vars.SCEPmanSAAS\_ProductName CA-Zertifikat zur Servervalidierung {% hint style="danger" %} **Vorsicht, wenn Sie bereits eine bestehende** [**SCEPman Connection**](https://docs.radiusaas.com/admin-portal/settings/settings-server#scepman-connection) Wenn Sie die SCEPman-Verbindung für die automatische Verwaltung von Serverzertifikaten bereits eingerichtet haben, space.vars.SCEPmanSAAS\_ProductName übernimmt die Verbindung nach der Registrierung. Das bedeutet, dass das Serverzertifikat von einem anderen Aussteller stammt **nach der nächsten Zertifikatsrotation**. Stellen Sie sicher, dass Ihre Clients das space.vars.SCEPmanSAAS\_ProductName CA-Zertifikat installiert haben und der neuen CA für die Servervalidierung im WLAN-Profil vertrauen. {% endhint %} {% endstep %} {% step %} ### Authenticator-Konfiguration überprüfen Wenn Sie RadSec verwenden, müssen auch Ihre RADIUS-Authentifizierer (Access Points, Switches und VPN-Gateways) der neuen Root-CA vertrauen, um eine Verbindung zu RADIUSaaS herzustellen. Stellen Sie sicher, dass die space.vars.SCEPmanSAAS\_ProductName Root-CA hier hinzugefügt wurde, um Auswirkungen während der Umstellung des Serverzertifikats zu vermeiden. {% hint style="danger" %} **Bitte prüfen Sie, ob Ihre Netzwerkausrüstung mehrere CAs verarbeiten kann** Wenn Ihre Authentifizierer nicht in der Lage sind, mehrere CAs für die RadSec-Servervalidierung zu vertrauen, muss die Umstellung des Serverzertifikats auf ein von space.vars.SCEPmanSAAS\_ProductName ausgestelltes Zertifikat zeitgleich mit der Umstellung auf die für die RadSec-Authentifizierung vertrauenswürdige CA erfolgen, da andernfalls Verbindungen fehlschlagen. {% endhint %} {% endstep %} {% step %} ### Auf Regeln prüfen, die Aussteller abgleichen Wenn Sie Regeln verwenden, um bestimmte Zertifizierungsstellen zu filtern, können Client-Authentifizierungen abgelehnt werden, wenn Zertifikate von space.vars.SCEPmanSAAS\_ProductName verwendet werden, falls die **Jede Authentifizierung erlaubt** Regel deaktiviert ist. Fügen Sie neue Regeln für das hinzugefügte CA-Zertifikat hinzu oder ändern Sie vorhandene Regeln so, dass es enthalten ist:

{% endstep %} {% endstepper %} ## Häufig gestellte Fragen ### Kann ich SCEPman Enterprise und space.vars.SCEPmanSAAS\_ProductName während der Migrationsphase parallel betreiben? Ja. Solange Sie beide Root-CA-Zertifikate für die Clientverbindung in RADIUSaaS als vertrauenswürdig eingerichtet haben, können Clientzertifikate beider Zertifizierungsstellen für die Authentifizierung verwendet werden. ### Kann ich mein vorhandenes SCEPman-Enterprise-Root-Zertifikat für space.vars.SCEPmanSAAS\_ProductName? Auch wenn dies technisch möglich ist über [Bring your own Key Vault](/de/admin-portal/settings/scepman.md#scepman-identity-and-keys)wird von der Wiederverwendung Ihres vorhandenen Root-CA-Zertifikats aus den folgenden Gründen abgeraten: * Bereits ausgestellte Zertifikate werden nur im Tenant der bestehenden SCEPman-Enterprise-Bereitstellung gespeichert, während neu erstellte Zertifikate innerhalb von space.vars.SCEPmanSAAS\_ProductNamegespeichert werden. Dies kann zu fehlgeschlagenen Validierungen führen, wenn Komponenten nicht ermitteln können, welche CA für die Validierung berücksichtigt werden soll * Abhängig vom Bereitstellungsort Ihres Key Vault und Ihrer RADIUSaaS-Instanz ist während kryptografischer Vorgänge, die das Root-CA-Zertifikat erfordern, mit zusätzlicher Latenz zu rechnen ### Wann kann ich meine alte SCEPman-Instanz außer Betrieb nehmen? Sobald alle Zertifikats-Anwendungsfälle der SCEPman-Enterprise-Instanz zu space.vars.SCEPmanSAAS\_ProductNamemigriert wurden, können Sie den App-Dienst sicher stoppen. Zu diesen Anwendungsfällen gehören unter anderem: * Client-Zertifikate * Serverzertifikate * DC-Zertifikate * Zertifikate für TLS-Inspektion * Code-Signing-Zertifikate * S/MIME-Zertifikate Stellen Sie sicher, dass Sie das Log Analytics Workspace lange genug überwachen, um zu bestätigen, dass keine Zertifikatsvalidierung oder -ausstellung mehr stattfindet. {% embed url="" %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/de/konfiguration/scepman-saas/migration-von-scepman-enterprise.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.