# Puntos de conexión privados
Al instalar SCEPman 2.8 o una versión más reciente, la Storage Account y el Key Vault se conectarán a una VNET mediante Private Endpoints. El acceso a los datos de estos dos recursos de Azure solo es posible a través de esta VNET, a menos que defina excepciones.
Esta VNET se encuentra en el mismo grupo de recursos que los demás componentes de SCEPman. Las App Services de SCEPman y SCEPman Certificate Master están conectadas a la VNET y, a nivel de red, tienen acceso a la Storage Account y al Key Vault.
Después de la instalación, no hay excepciones configuradas, por lo que ninguna otra entidad puede acceder a los certificados y claves del Key Vault ni al Table Storage de la Storage Account. Si es necesario, por ejemplo cuando [se genera una CA subordinada](https://docs.scepman.com/es/implementacion-de-scepman/intermediate-certificate) o cuando[ se consulta la Storage Account](https://docs.scepman.com/es/otros/faqs/general#how-can-i-programmatically-query-the-storage-account-table), debe agregar excepciones en el panel Networking del recurso de Azure correspondiente.
El acceso a la interfaz de administración del Key Vault y de la Storage Account no se ve afectado; es decir, no necesita agregar sus máquinas de administración a la lista de excepciones para realizar funciones como cambiar el SKU de su Storage Account o inspeccionar los registros de acceso de su Key Vault.
Las App Services de SCEPman y SCEPman Certificate Master no tienen Private Endpoints, incluso si instala SCEPman 2.8 o una versión más reciente. Siguen siendo accesibles desde Internet sin restricciones de red. Recomendamos no restringir el acceso a SCEPman a nivel de red, ya que SCEPman suele formar parte de la infraestructura utilizada para establecer conexiones de red y, por lo tanto, debe estar disponible incluso si todavía no está conectado.
Si es necesario, se puede emplear Conditional Access para limitar el acceso a SCEPman Certificate Master con diversas restricciones, incluidas condiciones de red. SCEPman normalmente no usa Conditional Access, ya que los dos endpoints SCEP y OCSP no usan autenticación de Entra. Sin embargo, podría usar Conditional Access para restringir el acceso a [la API REST de SCEPman](https://docs.scepman.com/es/administracion-de-certificados/api-certificates).
## Recursos de Azure usados para Private Endpoints
## Agregar Private Endpoints a instalaciones existentes de SCEPman
Si ha instalado SCEPman 2.7 o una versión anterior, su Key Vault y Storage Account no tendrán Private Endpoints automáticamente, aunque actualice a SCEPman 2.8 o una versión más reciente. Debe agregarlos manualmente después de una decisión consciente. Siga esta guía para hacerlo:
{% stepper %}
{% step %}
### Crear Virtual Network
* En el grupo de recursos de SCEPman, cree una nueva Virtual Network usando la configuración predeterminada o según lo requiera su organización. Esto debería incluir una **subred predeterminada**.
* Cree una subred adicional en la nueva **Virtual Network** con la configuración predeterminada y establezca **"Delegación de subred"** como **Microsoft.Web/serverFarms**
{% endstep %}
{% step %}
### Crear Private Endpoint de KeyVault
1. Navegue a Grupo de recursos de su SCEPman > **KeyVault** > Configuración > Networking > Private endpoint connections y cree un private endpoint
2. Seleccione el tipo de recurso: **Microsoft.KeyVault/vaults**
3. Seleccione su **KeyVault** por recurso y **vault** para el subrecurso de destino
4. Elija la red virtual y la subred predeterminada (no la subred creada en el primer paso)
5. Habilitar **Integrar con la zona DNS privada** para crear y conectar automáticamente la zona DNS privada
{% endstep %}
{% step %}
### Crear Private Endpoint de Storage Account
1. Navegue a Grupo de recursos de su SCEPman > **Storage Account** > Seguridad + Redes > Networking > Private endpoints y cree un Private Endpoint
2. Por recurso, establezca el subrecurso de destino en **table**
3. Elija su red virtual y la subred predeterminada
4. Habilitar **Integrar con la zona DNS privada** para crear y conectar automáticamente la zona DNS privada
{% endstep %}
{% step %}
### Integrar App Service de SCEPman
1. Navega a **App service de SCEPman** > Networking > Agregar la integración de red virtual al **Configuración del tráfico de salida** haciendo clic en "No configurado"
2. Seleccione la red virtual y la subred creada en el primer paso.
3. Desmarque la opción "Tráfico de Internet saliente" y aplique
{% endstep %}
{% step %}
### Integrar App Service de Certificate Master
* Al agregar la integración de red virtual al segundo app service, puede seleccionar la conexión anterior de la lista; no tiene que crear una nueva conexión.
* Si está habilitada, desmarque la opción "Tráfico de Internet saliente" y aplique
{% endstep %}
{% step %}
### Verificar la aprobación del Private Endpoint
Compruebe que ambos Private Endpoints de KeyVault y Storage Account estén en estado Aprobado
{% endstep %}
{% step %}
### Pruebas y resultados
Una vez confirmado, puede deshabilitar el acceso público tanto para Key Vault como para la Storage account.
Si está conectado correctamente, la página de inicio de SCEPman debería mostrar todas sus conexiones como "Connected"\
Pruebe que la implementación de private endpoints sea correcta desplegando certificados mediante su MDM o [Certificate Master.](https://docs.scepman.com/es/administracion-de-certificados/certificate-master)
{% endstep %}
{% endstepper %}
