# Endpoints privados

Ao instalar o SCEPman 2.8 ou mais recente, a Storage Account e o Key Vault serão ligados a uma VNET através de Private Endpoints. O acesso aos dados destes dois Azure Resources só é possível através desta VNET, a menos que defina exceções.

Esta VNET está localizada no mesmo resource group que os outros componentes do SCEPman. Os SCEPman e SCEPman Certificate Master App Services estão ligados à VNET e, ao nível da rede, têm acesso à Storage Account e ao Key Vault.

Após a instalação, não há exceções configuradas, pelo que nenhuma outra entidade pode aceder aos certificados e chaves do Key Vault ou ao Table Storage da Storage Account. Se necessário, por exemplo ao [gerar uma Subordinate CA](https://docs.scepman.com/pt/implantacao-do-scepman/intermediate-certificate) ou ao[ consultar a Storage Account](https://docs.scepman.com/pt/outros/faqs/general#how-can-i-programmatically-query-the-storage-account-table), precisa de adicionar exceções no blade Networking do respetivo Azure Resource.

O acesso à interface de gestão do Key Vault e da Storage Account não é afetado, ou seja, não precisa de adicionar as suas máquinas de administração à lista de exceções para realizar funções como alterar o SKU da sua Storage Account ou inspecionar os registos de acesso do seu Key Vault. 

Os SCEPman e SCEPman Certificate Master App Services não têm Private Endpoints, mesmo que instale o SCEPman 2.8 ou mais recente. Continuam a poder ser acedidos a partir da Internet sem restrições de rede. Recomendamos não restringir o acesso ao SCEPman ao nível da rede, uma vez que o SCEPman normalmente faz parte da infraestrutura usada para estabelecer ligações de rede e, por isso, deve estar disponível mesmo que ainda não esteja ligado.

Se necessário, o Conditional Access pode ser usado para limitar o acesso ao SCEPman Certificate Master com várias restrições, incluindo condições de rede. O SCEPman normalmente não usa Conditional Access, uma vez que os dois endpoints SCEP e OCSP não usam autenticação Entra. No entanto, poderá usar o Conditional Access para restringir o acesso a [a API REST do SCEPman](https://docs.scepman.com/pt/gerenciamento-de-certificados/api-certificates).

## Azure Resources Utilizados para Private Endpoints

## Adicionar Private Endpoints a Instalações Existentes do SCEPman

Se tiver instalado o SCEPman 2.7 ou anterior, o seu Key Vault e a Storage Account não terão automaticamente Private Endpoints, mesmo que atualize para o SCEPman 2.8 ou mais recente. Tem de os adicionar manualmente após uma decisão consciente. Siga este guia para o fazer:

{% stepper %}
{% step %}

### Criar Virtual Network

* No resource group do SCEPman, crie uma nova Virtual Network usando as definições predefinidas ou conforme exigido pela sua organização. Isto deve incluir uma **sub-rede predefinida**.
* Crie uma sub-rede adicional na nova **Virtual Network** com as definições predefinidas e defina **"Subnet Delegation"** como **Microsoft.Web/serverFarms**

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fiam78Sg5DERiTw9hODKt%2Fimage.png?alt=media&#x26;token=81586f35-8b3d-4048-9b55-0f879c1e779d" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Criar Private Endpoint do KeyVault

1. Navegue até ao Resource Group do SCEPman > **KeyVault** > Settings > Networking > Private endpoint connections, e crie um private endpoint
2. Selecione o tipo de recurso: **Microsoft.KeyVault/vaults**
3. Selecione o seu **KeyVault** por Resource e **vault** para Target sub-resource
4. Escolha a virtual network e a sub-rede predefinida (não a sub-rede criada no primeiro passo)
5. Ativar **Integrar com a private DNS zone** para criar e ligar automaticamente a private DNS zone
   {% endstep %}

{% step %}

### Criar Private Endpoint da Storage Account

1. Navegue até ao Resource Group do SCEPman > **Storage Account** > Security + Networking > Networking > Private endpoints e crie um Private Endpoint
2. Por resource, defina o target sub-resource como **table**
3. Escolha a sua virtual network e a sub-rede predefinida
4. Ativar **Integrar com a private DNS zone** para criar e ligar automaticamente a private DNS zone
   {% endstep %}

{% step %}

### Integrar o SCEPman App Service

1. Navegue até **SCEPman App service** > Networking > Adicione a integração de virtual network ao **Outbound traffic configuration** clicando em "Not configured"
2. Selecione a virtual network e a sub-rede criada no primeiro passo.
3. Desmarque a opção "Outbound internet traffic" e aplique

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FNkehFzE9EYgmw0Mbdp17%2Fimage.png?alt=media&#x26;token=0ca8d951-9753-455e-8e18-96708acc71d1" alt=""><figcaption></figcaption></figure>

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F2DmA1nHSDuoiftY3NYbS%2Fimage.png?alt=media&#x26;token=0b20e929-bb07-413c-871f-21e3ca07fe89" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Integrar o Certificate Master App Service

* Ao adicionar a integração de virtual network ao segundo app service, pode selecionar a ligação anterior da lista; não precisa de criar uma nova ligação.
* Se estiver ativado, desmarque a opção "Outbound internet traffic" e aplique

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fl4sw69lqaJcaO4xFwbrR%2Fimage.png?alt=media&#x26;token=a9eab453-ab6f-4b81-850e-da51e2135215" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Verificar a Aprovação do Private Endpoint

Verifique se ambos os Private Endpoints do KeyVault e da Storage Account estão num estado Approved

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FitjKr906PCf63W5HQExi%2Fimage.png?alt=media&#x26;token=e2338b6c-b786-496a-8d3f-b40418140a5a" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Teste e Resultados

Uma vez confirmado, pode desativar o acesso público tanto ao Key Vault como à Storage account.

<figure><img src="https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FOiRXWpXxzwk0IVD5uF3o%2Fimage.png?alt=media&#x26;token=6ac70041-3dc8-4766-bd45-40b8858dc0fe" alt=""><figcaption></figcaption></figure>

Se estiver ligado corretamente, a página inicial do SCEPman deve mostrar todas as suas ligações como "Connected"\
![](https://3802289327-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FM904qQ3M8fi90AXhUXRC%2Fimage.png?alt=media\&token=ec13dc88-8e08-41c1-91ef-6e8f495d81f0)

Teste se a sua implementação de private endpoints é bem-sucedida ao implementar certificados usando o seu MDM ou [Certificate Master.](https://docs.scepman.com/pt/gerenciamento-de-certificados/certificate-master)
{% endstep %}
{% endstepper %}