circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

SCEPman Enterprise からの移行

現在、ご自身のテナントで SCEPman Enterprise を使用しており、インフラのフットプリントをさらに削減したい場合は、への移行を検討するとよいでしょう。 SCEPman SaaSこれは、RADIUSaaS に組み込まれた完全統合型の CA ソリューションです。

hashtag
何が変わるのか?

変更点
変わらない点

SCEPman のホスティング

当社が管理し、もはやお客様の Azure テナント内にはありません。

SCEPman の URL

新しいエンドポイント URL。

RADIUS サーバー証明書

現在、 SCEPman 接続 または SCEPman 発行のサーバー証明書 を使用している場合は、新しいサーバー証明書が作成されます。

を使用している場合は変更はありません。 Customer CA.

証明書機能

証明書はこれまでと同じように動作します。

MDM 連携

SCEP 証明書プロファイルは、新しい URL を指し、新しいルート CA 証明書を参照する必要があります。

全体的な連携方法は変わりません。

エンドユーザーの体験

影響はありません。エンドユーザーには透過的です。

既存の証明書

下の移行影響セクションを参照してください。

有効な証明書は引き続き機能します。

hashtag
移行前の考慮事項

  • 機能: SCEPman Enterprise の一部の機能は SCEPman SaaSでは利用できません。移行を開始する前に、すべてのユースケースがカバーされていることを確認するため、 SCEPmanエディション比較 を確認してください。

  • MDM SCEP プロファイル: SCEP プロファイルを更新して、新しい SCEPman SaaS URL を指し、新しいルート CA を参照する必要があります。これをどのように展開するか(全件一括か段階的か)を計画してください。

  • ネットワーク環境: RadSec を使用している場合、への移行は SCEPman SaaS 接続に使用されるサーバー証明書が変更される可能性を意味します。

  • DNS またはファイアウォールのルール: 現在の SCEPman エンドポイントに紐づくネットワーク ルールがある場合、それらは更新する必要があります。

hashtag
移行パス

1

hashtag
セットアップ SCEPman SaaS

専用ガイドに従って、登録方法を確認してください:

🆕 SCEPman SaaSchevron-right

この手順の後、次の状態になっているはずです:

  • SCEPman SaaS が登録されており、デバイスには RADIUSaaS で使用するクライアント認証用の適切な証明書が届いています(現在の SCEPman Enterprise デプロイメントから発行されたものを除く)。

  • SCEPman SaaSの CA 証明書はデバイスで信頼され、RADIUSaaS の信頼ストアに追加されています。

2

hashtag
クライアント設定の確認

すでに RADIUSaaS を使用しているクライアントをへの移行対象にする場合は、以下の調整が必要です SCEPman SaaS :

  • 次を信頼していることを確認してください SCEPman SaaS ルート CA 証明書

  • WiFi プロファイルを調整して、現在の SCEPman Enterprise ルートに加えて、 SCEPman SaaS CA 証明書をサーバー検証用に含めます

triangle-exclamation

既存のがある場合は注意 SCEPman Connectionarrow-up-right

自動サーバー証明書管理のためにすでに SCEPman 接続を設定している場合、 SCEPman SaaS は登録後にその接続を引き継ぎます。つまり、サーバー証明書の発行元が異なることになります 次回の証明書ローテーション後に.

クライアントに SCEPman SaaS CA 証明書がインストールされており、WiFi プロファイルで新しい CA をサーバー検証用として信頼していることを確認してください。

3

hashtag
認証器の設定を確認

RadSec を使用している場合、RADIUS 認証器(アクセスポイント、スイッチ、VPN ゲートウェイ)も RADIUSaaS への接続を確立するために新しいルート CA 証明書を信頼する必要があります。

を確認してください SCEPman SaaS サーバー証明書の切り替え時の影響を防ぐため、ここにルート CA が追加されていること。

triangle-exclamation

ネットワーク機器が複数の CA を扱えるか確認してください

認証器が RadSec サーバー検証で複数の CA を信頼できない場合、によって発行された証明書へのサーバー証明書の変更は SCEPman SaaS 、RadSec 認証で信頼する CA の変更と同時に行う必要があります。そうしないと接続が失敗します。

4

hashtag
発行者に一致するルールの確認

特定の証明機関を絞り込むルールを使用している場合、からの証明書を使用するとクライアント認証が拒否される可能性があります SCEPman SaaS if the Any authentication allowed ルールが無効になっている場合。

追加した CA 証明書用の新しいルールを追加するか、既存のルールにそれを含めるよう修正してください:

hashtag
よくある質問

hashtag
SCEPman Enterprise と SCEPman SaaS を移行期間中に並行稼働できますか?

はい。RADIUSaaS でクライアント接続用に両方のルート CA 証明書を信頼している限り、両方の認証局のクライアント証明書を認証に使用できます。

hashtag
既存の SCEPman Enterprise ルート証明書を SCEPman SaaS?

に使用できますか? Bring your own Key Vaultを通じて技術的には可能ですが、既存のルート CA 証明書を再利用することは以下の理由から推奨されません:

  • すでに発行された証明書は既存の SCEPman Enterprise デプロイメントのテナントにのみ保存され、新しく作成された証明書は内に保存されます SCEPman SaaS。これにより、どの CA を検証対象とすべきかコンポーネントが判断できない場合、検証に失敗することがあります

  • Key Vault のデプロイ先と RADIUSaaS インスタンスの場所によっては、ルート CA 証明書を必要とする暗号処理中に遅延が追加で発生することが予想されます

hashtag
古い SCEPman インスタンスはいつ停止できますか?

SCEPman Enterprise インスタンスのすべての証明書ユースケースがへ移行されたら SCEPman SaaS、アプリサービスを安全に停止できます。これらのユースケースには、以下が含まれますが、これらに限定されません:

  • クライアント証明書

  • サーバー証明書

  • DC 証明書

  • TLS 検査用証明書

  • コード署名証明書

  • S/MIME 証明書

証明書の検証や発行がもう行われていないことを確認するため、Log Analytics Workspace を十分な期間監視してください。

LogoLog Management | SCEPmandocs.scepman.comchevron-right

最終更新

役に立ちましたか?