circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search
Ctrlk

Puntos de conexión privados

Al instalar SCEPman 2.8 o una versión más reciente, la Storage Account y el Key Vault se conectarán a una VNET mediante Private Endpoints. El acceso a los datos de estos dos recursos de Azure solo es posible a través de esta VNET, a menos que defina excepciones.

Esta VNET se encuentra en el mismo grupo de recursos que los demás componentes de SCEPman. Las App Services de SCEPman y SCEPman Certificate Master están conectadas a la VNET y, a nivel de red, tienen acceso a la Storage Account y al Key Vault.

Después de la instalación, no hay excepciones configuradas, por lo que ninguna otra entidad puede acceder a los certificados y claves del Key Vault ni al Table Storage de la Storage Account. Si es necesario, por ejemplo cuando se genera una CA subordinada o cuando se consulta la Storage Account, debe agregar excepciones en el panel Networking del recurso de Azure correspondiente.

El acceso a la interfaz de administración del Key Vault y de la Storage Account no se ve afectado; es decir, no necesita agregar sus máquinas de administración a la lista de excepciones para realizar funciones como cambiar el SKU de su Storage Account o inspeccionar los registros de acceso de su Key Vault.

Las App Services de SCEPman y SCEPman Certificate Master no tienen Private Endpoints, incluso si instala SCEPman 2.8 o una versión más reciente. Siguen siendo accesibles desde Internet sin restricciones de red. Recomendamos no restringir el acceso a SCEPman a nivel de red, ya que SCEPman suele formar parte de la infraestructura utilizada para establecer conexiones de red y, por lo tanto, debe estar disponible incluso si todavía no está conectado.

Si es necesario, se puede emplear Conditional Access para limitar el acceso a SCEPman Certificate Master con diversas restricciones, incluidas condiciones de red. SCEPman normalmente no usa Conditional Access, ya que los dos endpoints SCEP y OCSP no usan autenticación de Entra. Sin embargo, podría usar Conditional Access para restringir el acceso a la API REST de SCEPman.

hashtag
Recursos de Azure usados para Private Endpoints

hashtag
Agregar Private Endpoints a instalaciones existentes de SCEPman

Si ha instalado SCEPman 2.7 o una versión anterior, su Key Vault y Storage Account no tendrán Private Endpoints automáticamente, aunque actualice a SCEPman 2.8 o una versión más reciente. Debe agregarlos manualmente después de una decisión consciente. Siga esta guía para hacerlo:

1

hashtag
Crear Virtual Network

  • En el grupo de recursos de SCEPman, cree una nueva Virtual Network usando la configuración predeterminada o según lo requiera su organización. Esto debería incluir una subred predeterminada.

  • Cree una subred adicional en la nueva Virtual Network con la configuración predeterminada y establezca "Delegación de subred" como Microsoft.Web/serverFarms

2

hashtag
Crear Private Endpoint de KeyVault

  1. Navegue a Grupo de recursos de su SCEPman > KeyVault > Configuración > Networking > Private endpoint connections y cree un private endpoint

  2. Seleccione el tipo de recurso: Microsoft.KeyVault/vaults

  3. Seleccione su KeyVault por recurso y vault para el subrecurso de destino

  4. Elija la red virtual y la subred predeterminada (no la subred creada en el primer paso)

  5. Habilitar Integrar con la zona DNS privada para crear y conectar automáticamente la zona DNS privada

3

hashtag
Crear Private Endpoint de Storage Account

  1. Navegue a Grupo de recursos de su SCEPman > Storage Account > Seguridad + Redes > Networking > Private endpoints y cree un Private Endpoint

  2. Por recurso, establezca el subrecurso de destino en table

  3. Elija su red virtual y la subred predeterminada

  4. Habilitar Integrar con la zona DNS privada para crear y conectar automáticamente la zona DNS privada

4

hashtag
Integrar App Service de SCEPman

  1. Navega a App service de SCEPman > Networking > Agregar la integración de red virtual al Configuración del tráfico de salida haciendo clic en "No configurado"

  2. Seleccione la red virtual y la subred creada en el primer paso.

  3. Desmarque la opción "Tráfico de Internet saliente" y aplique

5

hashtag
Integrar App Service de Certificate Master

  • Al agregar la integración de red virtual al segundo app service, puede seleccionar la conexión anterior de la lista; no tiene que crear una nueva conexión.

  • Si está habilitada, desmarque la opción "Tráfico de Internet saliente" y aplique

6

hashtag
Verificar la aprobación del Private Endpoint

Compruebe que ambos Private Endpoints de KeyVault y Storage Account estén en estado Aprobado

7

hashtag
Pruebas y resultados

Una vez confirmado, puede deshabilitar el acceso público tanto para Key Vault como para la Storage account.

Si está conectado correctamente, la página de inicio de SCEPman debería mostrar todas sus conexiones como "Connected"

Pruebe que la implementación de private endpoints sea correcta desplegando certificados mediante su MDM o Certificate Master.

Última actualización

¿Te fue útil?