Migrar a partir do SCEPman Enterprise
Se você está atualmente usando o SCEPman Enterprise no seu próprio tenant e quer reduzir ainda mais a sua infraestrutura, talvez queira considerar migrar para SCEPman SaaS, uma solução CA totalmente integrada incorporada ao RADIUSaaS.
O que vai mudar?
Hospedagem do SCEPman
Gerenciado por nós, não mais no seu tenant do Azure.
URL do SCEPman
Novos URLs de endpoint.
Certificado do servidor RADIUS
Se você atualmente usa o SCEPman connection ou um certificado de servidor emitido pelo SCEPman um novo certificado de servidor será criado.
Sem alterações se você usar a CA do cliente.
Funcionalidade de certificado
Os certificados funcionam da mesma forma que antes.
Integração com MDM
Os perfis de certificado SCEP precisam apontar para a nova URL e referenciar um novo certificado Root CA.
A abordagem geral de integração permanece a mesma.
Experiência do usuário final
Sem impacto, transparente para os usuários finais.
Certificados existentes
Consulte a seção de impacto da migração abaixo.
Certificados válidos continuam funcionando.
Considerações Pré-Migração
Recursos: Alguns recursos do SCEPman Enterprise não estão disponíveis em SCEPman SaaS. Dê uma olhada em nosso Comparação de Edições do SCEPman para garantir que você tenha todos os seus casos de uso cobertos antes de iniciar a migração.
Perfis SCEP do MDM: Você precisará atualizar seus perfis SCEP para apontar para o novo SCEPman SaaS URL e referenciar a nova Root CA. Planeje como deseja fazer a implantação disso (tudo de uma vez vs. em fases).
Ambiente de rede: Se você estiver usando RadSec, migrar para SCEPman SaaS pode significar que o certificado de servidor usado para a conexão possa mudar.
Regras de DNS ou firewall: Se você tiver alguma regra de rede vinculada ao seu endpoint atual do SCEPman, elas precisarão ser atualizadas.
Caminho de Migração
Configuração SCEPman SaaS
Siga nosso guia dedicado sobre como inscrever:
🆕 SCEPman SaaSVocê deve estar na seguinte situação após esta etapa:
SCEPman SaaS está inscrito e seus dispositivos receberam certificados adequados para autenticação de cliente a serem usados com o RADIUSaaS (além dos emitidos pela sua implantação atual do SCEPman Enterprise).
SCEPman SaaSo certificado CA é confiável pelos seus dispositivos e adicionado ao trust store do RADIUSaaS.
Verificar Configuração do Cliente
Clientes já usando o RADIUSaaS exigirão os seguintes ajustes se você quiser migrar para SCEPman SaaS :
Garanta que eles confiam no SCEPman SaaS certificado Root CA
Ajuste o perfil de WiFi para incluir (de forma aditiva à Root SCEPman Enterprise atual) o SCEPman SaaS certificado CA para validação do servidor
Cuidado se você já tiver um funcionalidade de Conexão SCEPman
Se você já configurou a conexão SCEPman para gerenciamento automático de certificados de servidor, SCEPman SaaS assumirá a conexão após a inscrição. Isso significa que o certificado do servidor será de um emissor diferente após a próxima rotação de certificado.
Certifique-se de que seus clientes tenham o SCEPman SaaS certificado CA instalado e confiem na nova CA para validação do servidor no perfil de WiFi.
Verificar Configuração do Autenticador
Se você estiver usando RadSec, seus autenticadores RADIUS (pontos de acesso, switches e gateways VPN) também precisarão confiar no novo certificado Root CA para estabelecer uma conexão com o RADIUSaaS.
Garanta que a SCEPman SaaS Root CA tenha sido adicionada aqui para evitar impacto durante a transição do certificado do servidor.
Verifique se seu equipamento de rede lida com várias CAs
Se seus autenticadores não conseguirem confiar em várias CAs para a validação do servidor RadSec, a alteração do certificado do servidor para um emitido por SCEPman SaaS precisará acontecer ao mesmo tempo que a alteração da CA confiável para a autenticação RadSec, caso contrário as conexões falharão.
Verificar Regras que correspondem a Emissor(es)
Se você estiver usando regras para filtrar autoridades certificadoras específicas, as autenticações de cliente poderão ser rejeitadas ao usar certificados de SCEPman SaaS se a regra Any authentication allowed estiver desativada.
Adicione novas regras para o certificado CA adicionado ou certifique-se de modificar as regras existentes para incluí-lo:
Perguntas Frequentes
Posso executar o SCEPman Enterprise e SCEPman SaaS em paralelo durante a fase de migração?
Sim. Desde que você tenha confiado em ambos os certificados Root CA para a conexão de cliente no RADIUSaaS, certificados de cliente de ambas as autoridades certificadoras podem ser usados para autenticação.
Posso usar meu certificado Root SCEPman Enterprise existente para SCEPman SaaS?
Embora tecnicamente seja possível por meio de Trazer o seu próprio Key Vault, reutilizar seu certificado Root CA existente não é recomendado pelos seguintes motivos:
Os certificados já emitidos são armazenados apenas no tenant da implantação existente do SCEPman Enterprise, enquanto os certificados recém-criados serão armazenados dentro de SCEPman SaaS. Isso pode levar a falhas nas validações se os componentes não conseguirem identificar qual CA deve ser considerada para validação
Dependendo da localização de implantação do seu Key Vault e da sua instância do RADIUSaaS, espera-se latência adicional durante operações criptográficas que exigem o certificado Root CA
Quando posso desativar minha antiga instância do SCEPman?
Assim que todos os casos de uso de certificados da instância do SCEPman Enterprise tiverem sido migrados para SCEPman SaaS, você pode interromper com segurança o serviço de aplicativo. Esses casos de uso incluem, mas não se limitam a:
Certificados de Cliente
Certificados de Servidor
Certificados DC
Certificados para inspeção TLS
Certificados de Assinatura de Código
Certificados S/MIME
Certifique-se de monitorar o Log Analytics Workspace por tempo suficiente para verificar que não há mais validação ou emissão de certificados acontecendo.
Last updated
Was this helpful?