Migrer depuis SCEPman Enterprise

Si vous utilisez actuellement SCEPman Enterprise dans votre propre tenant et souhaitez réduire davantage votre empreinte d’infrastructure, vous pouvez envisager de passer à SCEPman SaaSune solution CA entièrement intégrée, intégrée à RADIUSaaS.

Qu’est-ce qui va changer ?

Considérations préalables à la migration

• Fonctionnalités: Certaines fonctionnalités de SCEPman Enterprise ne sont pas disponibles dans SCEPman SaaS. Veuillez consulter notre Comparaison des éditions SCEPman afin de vous assurer que tous vos cas d’usage sont couverts avant de commencer la migration.

• Profils SCEP MDM: Vous devrez mettre à jour vos profils SCEP pour qu’ils pointent vers la nouvelle SCEPman SaaS URL et fassent référence au nouveau Root CA. Prévoyez la manière dont vous souhaitez déployer cela (en une seule fois ou par étapes).

• Environnement réseau: Si vous utilisez RadSec, la migration vers SCEPman SaaS peut signifier que le certificat de serveur utilisé pour la connexion peut changer.

• Règles DNS ou pare-feu: Si vous avez des règles réseau liées à votre point de terminaison SCEPman actuel, elles devront être mises à jour.

Parcours de migration

1

Configuration SCEPman SaaS

Suivez notre guide dédié sur la manière d’inscrire :

🆕 SCEPman SaaS

Vous devriez vous trouver dans la situation suivante après cette étape :

• SCEPman SaaS est inscrit et vos appareils ont reçu des certificats adaptés pour l’authentification client à utiliser avec RADIUSaaS (en plus de ceux émis par votre déploiement SCEPman Enterprise actuel).

• SCEPman SaaSLe certificat CA ' est approuvé par vos appareils et ajouté au magasin de confiance de RADIUSaaS.

2

Vérifier la configuration du client

Les clients utilisant déjà RADIUSaaS devront effectuer les ajustements suivants si vous souhaitez migrer vers SCEPman SaaS :

• Assurez-vous qu’ils font confiance au SCEPman SaaS certificat Root CA

• Ajustez le profil Wi‑Fi pour inclure (en plus du Root SCEPman Enterprise actuel) le SCEPman SaaS certificat CA pour la validation du serveur

Attention si vous avez déjà un fonctionnalité SCEPman Connection

Si vous avez déjà configuré la connexion SCEPman pour la gestion automatique des certificats de serveur, SCEPman SaaS prendra le relais de la connexion après l’inscription. Cela signifie que le certificat du serveur proviendra d’un émetteur différent après la prochaine rotation de certificat.

Assurez-vous que vos clients ont le SCEPman SaaS certificat CA installé et qu’ils font confiance à la nouvelle CA pour la validation du serveur dans le profil Wi‑Fi.

3

Vérifier la configuration de l’authentificateur

Si vous utilisez RadSec, vos authentificateurs RADIUS (points d’accès, commutateurs et passerelles VPN) devront également faire confiance au nouveau certificat Root CA pour établir une connexion avec RADIUSaaS.

Assurez-vous que le SCEPman SaaS Root CA a été ajouté ici afin d’éviter tout impact lors du basculement du certificat de serveur.

Veuillez vérifier si votre équipement réseau gère plusieurs CA

Si vos authentificateurs ne peuvent pas faire confiance à plusieurs CA pour la validation du serveur RadSec, le changement du certificat de serveur vers un certificat émis par SCEPman SaaS devra se faire en même temps que le changement de la CA approuvée pour l’authentification RadSec, sinon les connexions échoueront.

4

Vérifier les règles correspondant à l’émetteur ou aux émetteurs

Si vous utilisez des règles pour filtrer des autorités de certification spécifiques, les authentifications client peuvent être rejetées lors de l’utilisation de certificats provenant de SCEPman SaaS si la Toute authentification autorisée règle est désactivée.

Ajoutez de nouvelles règles pour le certificat CA ajouté ou assurez-vous de modifier les règles existantes pour l’inclure :

Foire aux questions

Puis-je exécuter SCEPman Enterprise et SCEPman SaaS en parallèle pendant la phase de migration ?

Oui. Tant que vous avez approuvé les deux certificats Root CA pour la connexion client dans RADIUSaaS, des certificats client provenant des deux autorités de certification peuvent être utilisés pour l’authentification.

Puis-je utiliser mon certificat Root SCEPman Enterprise existant pour SCEPman SaaS?

Bien que cela soit techniquement possible via Bring your own Key Vault, la réutilisation de votre certificat Root CA existant n’est pas recommandée pour les raisons suivantes :

• Les certificats déjà émis sont uniquement stockés dans le tenant du déploiement SCEPman Enterprise existant, tandis que les nouveaux certificats créés seront stockés dans SCEPman SaaS. Cela peut entraîner des validations échouées si les composants ne parviennent pas à déterminer quelle CA doit être prise en compte pour la validation

• Selon l’emplacement de déploiement de votre Key Vault et de votre instance RADIUSaaS, une latence supplémentaire est à prévoir lors des opérations cryptographiques nécessitant le certificat Root CA

Quand puis-je mettre hors service mon ancienne instance SCEPman ?

Une fois que tous les cas d’usage des certificats de l’instance SCEPman Enterprise auront été migrés vers SCEPman SaaS, vous pouvez arrêter le service d’application en toute sécurité. Ces cas d’usage incluent notamment, sans s’y limiter :

• Certificats client

• Certificats de serveur

• Certificats DC

• Certificats pour l’inspection TLS

• Certificats de signature de code

• Certificats S/MIME

Assurez-vous de surveiller suffisamment longtemps le Log Analytics Workspace afin de vérifier qu’aucune validation ou émission de certificats n’a lieu.

Log Management | SCEPmandocs.scepman.com