circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search
Ctrlk

Endpoints privados

Ao instalar o SCEPman 2.8 ou mais recente, a Storage Account e o Key Vault serão ligados a uma VNET através de Private Endpoints. O acesso aos dados destes dois Azure Resources só é possível através desta VNET, a menos que defina exceções.

Esta VNET está localizada no mesmo resource group que os outros componentes do SCEPman. Os SCEPman e SCEPman Certificate Master App Services estão ligados à VNET e, ao nível da rede, têm acesso à Storage Account e ao Key Vault.

Após a instalação, não há exceções configuradas, pelo que nenhuma outra entidade pode aceder aos certificados e chaves do Key Vault ou ao Table Storage da Storage Account. Se necessário, por exemplo ao gerar uma Subordinate CA ou ao consultar a Storage Account, precisa de adicionar exceções no blade Networking do respetivo Azure Resource.

O acesso à interface de gestão do Key Vault e da Storage Account não é afetado, ou seja, não precisa de adicionar as suas máquinas de administração à lista de exceções para realizar funções como alterar o SKU da sua Storage Account ou inspecionar os registos de acesso do seu Key Vault.

Os SCEPman e SCEPman Certificate Master App Services não têm Private Endpoints, mesmo que instale o SCEPman 2.8 ou mais recente. Continuam a poder ser acedidos a partir da Internet sem restrições de rede. Recomendamos não restringir o acesso ao SCEPman ao nível da rede, uma vez que o SCEPman normalmente faz parte da infraestrutura usada para estabelecer ligações de rede e, por isso, deve estar disponível mesmo que ainda não esteja ligado.

Se necessário, o Conditional Access pode ser usado para limitar o acesso ao SCEPman Certificate Master com várias restrições, incluindo condições de rede. O SCEPman normalmente não usa Conditional Access, uma vez que os dois endpoints SCEP e OCSP não usam autenticação Entra. No entanto, poderá usar o Conditional Access para restringir o acesso a a API REST do SCEPman.

hashtag
Azure Resources Utilizados para Private Endpoints

hashtag
Adicionar Private Endpoints a Instalações Existentes do SCEPman

Se tiver instalado o SCEPman 2.7 ou anterior, o seu Key Vault e a Storage Account não terão automaticamente Private Endpoints, mesmo que atualize para o SCEPman 2.8 ou mais recente. Tem de os adicionar manualmente após uma decisão consciente. Siga este guia para o fazer:

1

hashtag
Criar Virtual Network

  • No resource group do SCEPman, crie uma nova Virtual Network usando as definições predefinidas ou conforme exigido pela sua organização. Isto deve incluir uma sub-rede predefinida.

  • Crie uma sub-rede adicional na nova Virtual Network com as definições predefinidas e defina "Subnet Delegation" como Microsoft.Web/serverFarms

2

hashtag
Criar Private Endpoint do KeyVault

  1. Navegue até ao Resource Group do SCEPman > KeyVault > Settings > Networking > Private endpoint connections, e crie um private endpoint

  2. Selecione o tipo de recurso: Microsoft.KeyVault/vaults

  3. Selecione o seu KeyVault por Resource e vault para Target sub-resource

  4. Escolha a virtual network e a sub-rede predefinida (não a sub-rede criada no primeiro passo)

  5. Ativar Integrar com a private DNS zone para criar e ligar automaticamente a private DNS zone

3

hashtag
Criar Private Endpoint da Storage Account

  1. Navegue até ao Resource Group do SCEPman > Storage Account > Security + Networking > Networking > Private endpoints e crie um Private Endpoint

  2. Por resource, defina o target sub-resource como table

  3. Escolha a sua virtual network e a sub-rede predefinida

  4. Ativar Integrar com a private DNS zone para criar e ligar automaticamente a private DNS zone

4

hashtag
Integrar o SCEPman App Service

  1. Navegue até SCEPman App service > Networking > Adicione a integração de virtual network ao Outbound traffic configuration clicando em "Not configured"

  2. Selecione a virtual network e a sub-rede criada no primeiro passo.

  3. Desmarque a opção "Outbound internet traffic" e aplique

5

hashtag
Integrar o Certificate Master App Service

  • Ao adicionar a integração de virtual network ao segundo app service, pode selecionar a ligação anterior da lista; não precisa de criar uma nova ligação.

  • Se estiver ativado, desmarque a opção "Outbound internet traffic" e aplique

6

hashtag
Verificar a Aprovação do Private Endpoint

Verifique se ambos os Private Endpoints do KeyVault e da Storage Account estão num estado Approved

7

hashtag
Teste e Resultados

Uma vez confirmado, pode desativar o acesso público tanto ao Key Vault como à Storage account.

Se estiver ligado corretamente, a página inicial do SCEPman deve mostrar todas as suas ligações como "Connected"

Teste se a sua implementação de private endpoints é bem-sucedida ao implementar certificados usando o seu MDM ou Certificate Master.

Last updated

Was this helpful?