circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Points de terminaison privés

Lors de l'installation de SCEPman 2.8 ou version ultérieure, le compte de stockage et le Key Vault seront connectés à un VNET via des points de terminaison privés. L'accès aux données de ces deux ressources Azure n'est possible que par ce VNET, sauf si vous définissez des exceptions.

Ce VNET se trouve dans le même groupe de ressources que les autres composants de SCEPman. Les App Services SCEPman et SCEPman Certificate Master sont connectés au VNET et, au niveau réseau, ont accès au compte de stockage et au Key Vault.

Après l'installation, aucune exception n'est configurée, donc aucune autre entité ne peut accéder aux certificats et clés du Key Vault ni au stockage de tables du compte de stockage. Si nécessaire, par exemple lors de la génération d'une CA subordonnée ou lors de l'interrogation du compte de stockage, vous devez ajouter des exceptions sous le volet Réseau de la ressource Azure respective.

L'accès à l'interface de gestion du Key Vault et du compte de stockage n'est pas affecté, c'est-à-dire que vous n'avez pas besoin d'ajouter vos machines d'administration à la liste d'exceptions pour effectuer des fonctions telles que changer le SKU de votre compte de stockage ou inspecter les journaux d'accès de votre Key Vault.

Les App Services SCEPman et SCEPman Certificate Master n'ont pas de points de terminaison privés, même si vous installez SCEPman 2.8 ou version ultérieure. Ils restent accessibles depuis Internet sans restrictions réseau. Nous recommandons de ne pas restreindre l'accès à SCEPman au niveau réseau, car SCEPman fait généralement partie de l'infrastructure utilisée pour établir des connexions réseau et doit donc être disponible même si vous n'êtes pas encore connecté.

Si nécessaire, l'accès conditionnel peut être utilisé pour limiter l'accès à SCEPman Certificate Master avec diverses restrictions, y compris des conditions réseau. SCEPman n'utilise généralement pas l'accès conditionnel, car les deux points de terminaison SCEP et OCSP n'utilisent pas l'authentification Entra. Cependant, vous pouvez utiliser l'accès conditionnel pour restreindre l'accès à l'API REST de SCEPman.

hashtag
Ressources Azure utilisées pour les points de terminaison privés

hashtag
Ajout de points de terminaison privés à des installations SCEPman existantes

Si vous avez installé SCEPman 2.7 ou une version antérieure, votre Key Vault et votre compte de stockage n'auront pas automatiquement de points de terminaison privés, même si vous mettez à jour vers SCEPman 2.8 ou version ultérieure. Vous devez les ajouter manuellement après une décision consciente. Veuillez suivre ce guide pour le faire :

1

hashtag
Créer un réseau virtuel

  • Dans le groupe de ressources SCEPman, créez un nouveau réseau virtuel en utilisant les paramètres par défaut ou selon les exigences de votre organisation. Cela doit inclure un sous-réseau par défaut.

  • Créez un sous-réseau supplémentaire dans le nouveau réseau virtuel avec les paramètres par défaut et définissez "Délégation de sous-réseau" en tant que Microsoft.Web/serverFarms

2

hashtag
Créer un point de terminaison privé pour KeyVault

  1. Accédez au groupe de ressources de votre SCEPman > KeyVault > Paramètres > Réseau > Connexions de points de terminaison privés, et créez un point de terminaison privé

  2. Sélectionner le type de ressource : Microsoft.KeyVault/vaults

  3. Sélectionnez votre KeyVault par Ressource et coffre pour la sous-ressource cible

  4. Choisissez le réseau virtuel et le sous-réseau par défaut (pas le sous-réseau créé à la première étape)

  5. Activer Intégrer avec une zone DNS privée pour créer et connecter automatiquement la zone DNS privée

3

hashtag
Créer un point de terminaison privé pour le compte de stockage

  1. Accédez au groupe de ressources de votre SCEPman > Compte de stockage > Sécurité + Réseau > Réseau > Points de terminaison privés et créez un point de terminaison privé

  2. Par ressource, définissez la sous-ressource cible sur table

  3. Choisissez votre réseau virtuel et le sous-réseau par défaut

  4. Activer Intégrer avec une zone DNS privée pour créer et connecter automatiquement la zone DNS privée

4

hashtag
Intégrer l'App Service SCEPman

  1. Accéder à App Service SCEPman > Réseau > Ajouter l'intégration de réseau virtuel au Configuration du trafic sortant en cliquant sur "Non configuré"

  2. Sélectionnez le réseau virtuel et le sous-réseau créés lors de la première étape.

  3. Décochez l'option "Trafic Internet sortant" et appliquez

5

hashtag
Intégrer l'App Service Certificate Master

  • En ajoutant l'intégration du réseau virtuel au deuxième App Service, vous pouvez sélectionner la connexion précédente dans la liste, vous n'avez pas à créer une nouvelle connexion.

  • Si activé, décochez l'option "Trafic Internet sortant" et appliquez

6

hashtag
Vérifier l'approbation du point de terminaison privé

Vérifiez que les points de terminaison privés du KeyVault et du compte de stockage sont dans un état Approuvé

7

hashtag
Tests et résultats

Une fois confirmé, vous pouvez désactiver l'accès public pour le Key Vault et le compte de stockage.

Si la connexion est correctement établie, la page d'accueil de SCEPman devrait afficher toutes ses connexions comme "Connecté"

Testez que votre implémentation des points de terminaison privés est réussie en déployant des certificats à l'aide de votre MDM ou Certificate Master.

Mis à jour

Ce contenu vous a-t-il été utile ?