Migrar desde SCEPman Enterprise
Si actualmente utiliza SCEPman Enterprise en su propio tenant y desea reducir aún más su huella de infraestructura, podría considerar migrar a SCEPman SaaS, una solución de CA totalmente integrada incorporada en RADIUSaaS.
¿Qué cambiará?
Alojamiento de SCEPman
Gestionado por nosotros, ya no en su tenant de Azure.
URL de SCEPman
Nuevas URL de endpoint.
Certificado de servidor RADIUS
Si actualmente usa la conexión SCEPman o un certificado de servidor emitido por SCEPman se creará un nuevo certificado de servidor.
No hay cambios si usa la Customer CA.
Funcionalidad de certificados
Los certificados funcionan igual que antes.
Integración MDM
Los perfiles de certificados SCEP deben apuntar a la nueva URL y hacer referencia a un nuevo certificado Root CA.
El enfoque general de integración sigue siendo el mismo.
Experiencia del usuario final
Sin impacto, transparente para los usuarios finales.
Certificados existentes
Consulte la sección de impacto de migración a continuación.
Los certificados válidos siguen funcionando.
Consideraciones previas a la migración
Funciones: Algunas funciones de SCEPman Enterprise no están disponibles en SCEPman SaaS. Por favor, consulte nuestra Comparación de ediciones de SCEPman para asegurarse de que tiene cubiertos todos sus casos de uso antes de comenzar la migración.
Perfiles SCEP de MDM: Deberá actualizar sus perfiles SCEP para que apunten a la nueva SCEPman SaaS URL y hagan referencia al nuevo Root CA. Planifique cómo desea desplegar esto (todo a la vez vs. por fases).
Entorno de red: Si está usando RadSec, migrar a SCEPman SaaS puede significar que el certificado de servidor utilizado para la conexión podría cambiar.
Reglas de DNS o firewall: Si tiene alguna regla de red vinculada a su endpoint actual de SCEPman, será necesario actualizarlas.
Ruta de migración
Configuración SCEPman SaaS
Siga nuestra guía dedicada sobre cómo inscribirse:
🆕 SCEPman SaaSDespués de este paso, debería encontrarse en la siguiente situación:
SCEPman SaaS está inscrito y sus dispositivos han recibido certificados adecuados para la autenticación de cliente que se utilizarán con RADIUSaaS (además de los emitidos por su implementación actual de SCEPman Enterprise).
SCEPman SaaSEl certificado CA de ' está confiado por sus dispositivos y agregado al almacén de confianza de RADIUSaaS.
Verificar la configuración del cliente
Los clientes que ya usan RADIUSaaS requerirán los siguientes ajustes si desea migrar a SCEPman SaaS :
Asegúrese de que confían en el SCEPman SaaS certificado Root CA
Ajuste el perfil de WiFi para incluir (además del Root de SCEPman Enterprise actual) el SCEPman SaaS certificado CA para validación del servidor
Precaución si ya tiene un función SCEPman Connection
Si ya ha configurado la conexión SCEPman para la administración automática de certificados de servidor, SCEPman SaaS tomará el control de la conexión después de la inscripción. Esto significa que el certificado de servidor será de un emisor diferente después de la siguiente rotación de certificados.
Asegúrese de que sus clientes tengan el SCEPman SaaS certificado CA instalado y confíen en la nueva CA para la validación del servidor en el perfil de WiFi.
Verificar la configuración del autenticador
Si está usando RadSec, sus autenticadores RADIUS (puntos de acceso, switches y gateways VPN) también tendrán que confiar en el nuevo certificado Root CA para establecer una conexión con RADIUSaaS.
Asegúrese de que el SCEPman SaaS Root CA se haya agregado aquí para evitar impacto durante el cambio del certificado de servidor.
Por favor, compruebe si su equipo de red maneja múltiples CAs
Si sus autenticadores no pueden confiar en múltiples CAs para la validación del servidor RadSec, el cambio del certificado de servidor a uno emitido por SCEPman SaaS deberá hacerse al mismo tiempo que el cambio de la CA de confianza para la autenticación RadSec, ya que de lo contrario las conexiones fallarán.
Comprobar reglas que coincidan con emisor(es)
Si está usando reglas para filtrar autoridades de certificación específicas, las autenticaciones de cliente podrían ser rechazadas al usar certificados de SCEPman SaaS si la regla Cualquier autenticación permitida está deshabilitada.
Añada nuevas reglas para el certificado CA agregado o asegúrese de modificar las reglas existentes para incluirlo:
Preguntas frecuentes
¿Puedo ejecutar SCEPman Enterprise y SCEPman SaaS en paralelo durante la fase de migración?
Sí. Mientras haya confiado en ambos certificados Root CA para la conexión de cliente en RADIUSaaS, los certificados de cliente de ambas autoridades de certificación pueden usarse para la autenticación.
¿Puedo usar mi certificado raíz existente de SCEPman Enterprise para SCEPman SaaS?
Aunque técnicamente es posible mediante Bring your own Key Vault, no se recomienda reutilizar su certificado Root CA existente por las siguientes razones:
Los certificados ya emitidos solo se almacenan en el tenant de la implementación existente de SCEPman Enterprise, mientras que los certificados creados nuevos se almacenarán dentro de SCEPman SaaS. Esto puede provocar fallos de validación si los componentes no pueden determinar qué CA debe considerarse para la validación
Dependiendo de la ubicación de implementación de su Key Vault y de su instancia de RADIUSaaS, se espera una latencia adicional durante las operaciones criptográficas que requieran el certificado Root CA
¿Cuándo puedo retirar mi antigua instancia de SCEPman?
Una vez que todos los casos de uso de certificados de la instancia de SCEPman Enterprise se hayan migrado a SCEPman SaaS, puede detener de forma segura el servicio de la aplicación. Estos casos de uso incluyen, entre otros:
Certificados de cliente
Certificados de servidor
Certificados DC
Certificados para inspección TLS
Certificados de firma de código
Certificados S/MIME
Asegúrese de supervisar el Log Analytics Workspace el tiempo suficiente para verificar que ya no se está realizando ninguna validación ni emisión de certificados.
Última actualización
¿Te fue útil?