circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Puntos finales privados

Al instalar SCEPman 2.8 o una versión más reciente, la Cuenta de Almacenamiento y el Key Vault se conectarán a una VNET mediante Endpoints Privados. El acceso a los datos de estos dos recursos de Azure solo es posible a través de esta VNET, a menos que definas excepciones.

Esta VNET se encuentra en el mismo grupo de recursos que los demás componentes de SCEPman. Los App Services de SCEPman y SCEPman Certificate Master están conectados a la VNET y, a nivel de red, tienen acceso a la Cuenta de Almacenamiento y al Key Vault.

Después de la instalación, no hay excepciones configuradas, por lo que ninguna otra entidad puede acceder a los certificados y claves del Key Vault ni al Table Storage de la Cuenta de Almacenamiento. Si se requiere, por ejemplo cuando generando una CA subordinada o cuando consultando la Cuenta de Almacenamiento, necesitas añadir excepciones en el panel de Redes (Networking) del recurso de Azure correspondiente.

El acceso a la interfaz de administración del Key Vault y de la Cuenta de Almacenamiento no se ve afectado, es decir, no necesitas agregar tus máquinas de administración a la lista de excepciones para realizar funciones como cambiar el SKU de tu Cuenta de Almacenamiento o inspeccionar los registros de acceso (access logs) de tu Key Vault.

Los App Services SCEPman y SCEPman Certificate Master no tienen Endpoints Privados, incluso si instalas SCEPman 2.8 o posterior. Aún pueden ser accedidos desde Internet sin restricciones de red. Recomendamos no restringir el acceso a SCEPman a nivel de red, ya que SCEPman suele formar parte de la infraestructura usada para establecer conexiones de red y, por tanto, debería estar disponible incluso si aún no estás conectado.

Si es necesario, se puede emplear Acceso Condicional (Conditional Access) para limitar el acceso a SCEPman Certificate Master con varias restricciones, incluidas condiciones de red. Normalmente SCEPman no usa Acceso Condicional, ya que los dos endpoints SCEP y OCSP no usan autenticación de Entra. Sin embargo, podrías usar Acceso Condicional para restringir el acceso a la API REST de SCEPman.

hashtag
Recursos de Azure utilizados para Endpoints Privados

hashtag
Agregar Endpoints Privados a instalaciones de SCEPman existentes

Si has instalado SCEPman 2.7 o una versión anterior, tu Key Vault y la Cuenta de Almacenamiento no tendrán Endpoints Privados automáticamente, incluso si actualizas a SCEPman 2.8 o posterior. Debes añadirlos manualmente después de tomar una decisión consciente. Sigue esta guía para hacerlo:

1

hashtag
Crear Red Virtual

  • En el grupo de recursos de SCEPman, crea una nueva Red Virtual usando la configuración predeterminada o según lo requiera tu organización. Esto debería incluir una subred predeterminada.

  • Crea una subred adicional en la nueva Red Virtual con la configuración predeterminada y establece "Delegación de subred" como Microsoft.Web/serverFarms

2

hashtag
Crear Endpoint Privado para KeyVault

  1. Navega hasta el Grupo de Recursos de tu SCEPman > KeyVault > Configuración > Redes > Conexiones de endpoint privado (Private endpoint connections), y crea un endpoint privado

  2. Seleccionar tipo de recurso: Microsoft.KeyVault/vaults

  3. Selecciona tu KeyVault por Recurso y vault para subrecurso objetivo (Target sub-resource)

  4. Elige la red virtual y la subred predeterminada (no la subred creada en el primer paso)

  5. Habilitar Integrar con zona DNS privada para crear y conectar automáticamente la zona DNS privada

3

hashtag
Crear Endpoint Privado para la Cuenta de Almacenamiento

  1. Navega hasta el Grupo de Recursos de tu SCEPman > Cuenta de almacenamiento > Seguridad + Redes > Redes > Endpoints privados y crea un Endpoint Privado

  2. Por recurso, establece el subrecurso objetivo a table

  3. Elige tu red virtual y la subred predeterminada

  4. Habilitar Integrar con zona DNS privada para crear y conectar automáticamente la zona DNS privada

4

hashtag
Integrar App Service de SCEPman

  1. Navegue a App Service de SCEPman > Redes > Agregar integración de red virtual al Configuración de tráfico saliente haciendo clic en "No configurado"

  2. Selecciona la red virtual y la subred creada en el primer paso.

  3. Desmarca la opción "Tráfico saliente a Internet" y aplica

5

hashtag
Integrar App Service de Certificate Master

  • Al agregar la integración de red virtual al segundo App Service, puedes seleccionar la conexión previa de la lista, no tienes que crear una nueva conexión.

  • Si está habilitado, desmarca la opción "Tráfico saliente a Internet" y aplica

6

hashtag
Verificar aprobación del Endpoint Privado

Comprueba que tanto los Endpoints Privados de KeyVault como de la Cuenta de Almacenamiento estén en estado Aprobado

7

hashtag
Pruebas y resultados

Una vez confirmado, puedes deshabilitar el acceso público tanto para el Key Vault como para la Cuenta de Almacenamiento.

Si está conectado correctamente, la página de inicio de SCEPman debería mostrar todas sus conexiones como "Conectado"

Comprueba que la implementación de tus endpoints privados sea exitosa desplegando certificados usando tu MDM o Certificate Master.

Última actualización

¿Te fue útil?