Von SCEPman Enterprise migrieren

Wenn Sie derzeit SCEPman Enterprise in Ihrem eigenen Tenant verwenden und Ihren Infrastruktur-Footprint weiter reduzieren möchten, sollten Sie möglicherweise einen Wechsel zu SCEPman SaaSin Betracht ziehen, einer vollständig integrierten CA-Lösung, die in RADIUSaaS eingebettet ist.

Was wird sich ändern?

Überlegungen vor der Migration

• Funktionen: Einige Funktionen von SCEPman Enterprise sind in SCEPman SaaSnicht verfügbar. Bitte werfen Sie einen Blick in unsere SCEPman-Editionen im Vergleich um sicherzustellen, dass alle Ihre Anwendungsfälle abgedeckt sind, bevor Sie mit der Migration beginnen.

• MDM-SCEP-Profile: Sie müssen Ihre SCEP-Profile aktualisieren, damit sie auf die neue SCEPman SaaS URL verweisen und die neue Root-CA referenzieren. Planen Sie, wie Sie dies ausrollen möchten (alles auf einmal vs. schrittweise).

• Netzwerkumgebung: Wenn Sie RadSec verwenden, kann die Migration zu SCEPman SaaS bedeuten, dass sich das für die Verbindung verwendete Serverzertifikat ändern kann.

• DNS- oder Firewall-Regeln: Wenn Sie Netzwerkregeln haben, die an Ihren aktuellen SCEPman-Endpunkt gebunden sind, müssen diese aktualisiert werden.

Migrationspfad

1

Einrichtung SCEPman SaaS

Befolgen Sie unsere spezielle Anleitung zur Registrierung:

🆕 SCEPman SaaS

Nach diesem Schritt sollten Sie sich in folgender Situation befinden:

• SCEPman SaaS ist registriert, und Ihre Geräte haben geeignete Zertifikate für die Client-Authentifizierung erhalten, die mit RADIUSaaS verwendet werden können (zusätzlich zu den Zertifikaten, die von Ihrer aktuellen SCEPman-Enterprise-Bereitstellung ausgestellt wurden).

• SCEPman SaaS-CA-Zertifikat wird von Ihren Geräten vertraut und dem RADIUSaaS-Truststore hinzugefügt.

2

Client-Konfiguration überprüfen

Clients, die bereits RADIUSaaS verwenden, benötigen die folgenden Anpassungen, wenn Sie zu SCEPman SaaS :

• wechseln möchten. Stellen Sie sicher, dass sie der SCEPman SaaS Root-CA-Zertifikat

• Passen Sie das WLAN-Profil an, um zusätzlich zur aktuellen SCEPman-Enterprise-Root das SCEPman SaaS CA-Zertifikat zur Servervalidierung

Vorsicht, wenn Sie bereits eine bestehende SCEPman Connection

Wenn Sie die SCEPman-Verbindung für die automatische Verwaltung von Serverzertifikaten bereits eingerichtet haben, SCEPman SaaS übernimmt die Verbindung nach der Registrierung. Das bedeutet, dass das Serverzertifikat von einem anderen Aussteller stammt nach der nächsten Zertifikatsrotation.

Stellen Sie sicher, dass Ihre Clients das SCEPman SaaS CA-Zertifikat installiert haben und der neuen CA für die Servervalidierung im WLAN-Profil vertrauen.

3

Authenticator-Konfiguration überprüfen

Wenn Sie RadSec verwenden, müssen auch Ihre RADIUS-Authentifizierer (Access Points, Switches und VPN-Gateways) der neuen Root-CA vertrauen, um eine Verbindung zu RADIUSaaS herzustellen.

Stellen Sie sicher, dass die SCEPman SaaS Root-CA hier hinzugefügt wurde, um Auswirkungen während der Umstellung des Serverzertifikats zu vermeiden.

Bitte prüfen Sie, ob Ihre Netzwerkausrüstung mehrere CAs verarbeiten kann

Wenn Ihre Authentifizierer nicht in der Lage sind, mehrere CAs für die RadSec-Servervalidierung zu vertrauen, muss die Umstellung des Serverzertifikats auf ein von SCEPman SaaS ausgestelltes Zertifikat zeitgleich mit der Umstellung auf die für die RadSec-Authentifizierung vertrauenswürdige CA erfolgen, da andernfalls Verbindungen fehlschlagen.

4

Auf Regeln prüfen, die Aussteller abgleichen

Wenn Sie Regeln verwenden, um bestimmte Zertifizierungsstellen zu filtern, können Client-Authentifizierungen abgelehnt werden, wenn Zertifikate von SCEPman SaaS verwendet werden, falls die Jede Authentifizierung erlaubt Regel deaktiviert ist.

Fügen Sie neue Regeln für das hinzugefügte CA-Zertifikat hinzu oder ändern Sie vorhandene Regeln so, dass es enthalten ist:

Häufig gestellte Fragen

Kann ich SCEPman Enterprise und SCEPman SaaS während der Migrationsphase parallel betreiben?

Ja. Solange Sie beide Root-CA-Zertifikate für die Clientverbindung in RADIUSaaS als vertrauenswürdig eingerichtet haben, können Clientzertifikate beider Zertifizierungsstellen für die Authentifizierung verwendet werden.

Kann ich mein vorhandenes SCEPman-Enterprise-Root-Zertifikat für SCEPman SaaS?

Auch wenn dies technisch möglich ist über Bring your own Key Vaultwird von der Wiederverwendung Ihres vorhandenen Root-CA-Zertifikats aus den folgenden Gründen abgeraten:

• Bereits ausgestellte Zertifikate werden nur im Tenant der bestehenden SCEPman-Enterprise-Bereitstellung gespeichert, während neu erstellte Zertifikate innerhalb von SCEPman SaaSgespeichert werden. Dies kann zu fehlgeschlagenen Validierungen führen, wenn Komponenten nicht ermitteln können, welche CA für die Validierung berücksichtigt werden soll

• Abhängig vom Bereitstellungsort Ihres Key Vault und Ihrer RADIUSaaS-Instanz ist während kryptografischer Vorgänge, die das Root-CA-Zertifikat erfordern, mit zusätzlicher Latenz zu rechnen

Wann kann ich meine alte SCEPman-Instanz außer Betrieb nehmen?

Sobald alle Zertifikats-Anwendungsfälle der SCEPman-Enterprise-Instanz zu SCEPman SaaSmigriert wurden, können Sie den App-Dienst sicher stoppen. Zu diesen Anwendungsfällen gehören unter anderem:

• Client-Zertifikate

• Serverzertifikate

• DC-Zertifikate

• Zertifikate für TLS-Inspektion

• Code-Signing-Zertifikate

• S/MIME-Zertifikate

Stellen Sie sicher, dass Sie das Log Analytics Workspace lange genug überwachen, um zu bestätigen, dass keine Zertifikatsvalidierung oder -ausstellung mehr stattfindet.

Log Management | SCEPmandocs.scepman.com