circle-info
Este artigo foi traduzido automaticamente. A tradução pode conter imprecisões.
Alternar para a versão original em inglês.chevron-right
search

Endpoints Privados

Ao instalar o SCEPman 2.8 ou mais recente, a Conta de Armazenamento e o Key Vault serão conectados a uma VNET através de Endpoints Privados. O acesso aos dados desses dois Recursos do Azure só é possível através desta VNET, a menos que você defina exceções.

Esta VNET está localizada no mesmo grupo de recursos que os outros componentes do SCEPman. Os App Services SCEPman e SCEPman Certificate Master estão conectados à VNET e, em nível de rede, têm acesso à Conta de Armazenamento e ao Key Vault.

Após a instalação, não há exceções configuradas, então nenhuma outra entidade pode acessar os certificados e chaves do Key Vault ou o Table Storage da Conta de Armazenamento. Se necessário, por exemplo quando gerar uma CA Subordinada ou quando consultar a Conta de Armazenamento, você precisa adicionar exceções na guia Rede do respectivo Recurso do Azure.

O acesso à interface de gerenciamento do Key Vault e da Conta de Armazenamento não é afetado, ou seja, você não precisa adicionar suas máquinas de administração à lista de exceções para executar funções como alterar o SKU da sua Conta de Armazenamento ou inspecionar os logs de acesso do seu Key Vault.

Os App Services SCEPman e SCEPman Certificate Master não possuem Endpoints Privados, mesmo se você instalar o SCEPman 2.8 ou mais recente. Eles ainda podem ser acessados pela Internet sem restrições de rede. Recomendamos não restringir o acesso ao SCEPman em nível de rede, pois o SCEPman costuma fazer parte da infraestrutura usada para estabelecer conexões de rede e, portanto, deve estar disponível mesmo que você ainda não esteja conectado.

Se necessário, o Acesso Condicional pode ser empregado para limitar o acesso ao SCEPman Certificate Master com várias restrições, incluindo condições de rede. O SCEPman geralmente não usa Acesso Condicional, pois os dois endpoints SCEP e OCSP não usam autenticação Entra. No entanto, você pode usar o Acesso Condicional para restringir o acesso a API REST do SCEPman.

hashtag
Recursos do Azure usados para Endpoints Privados

hashtag
Adicionando Endpoints Privados a Instalações Existentes do SCEPman

Se você instalou o SCEPman 2.7 ou anterior, seu Key Vault e Conta de Armazenamento não terão Endpoints Privados automaticamente, mesmo se você atualizar para o SCEPman 2.8 ou mais recente. Você deve adicioná-los manualmente após uma decisão consciente. Por favor, siga este guia para fazê-lo:

1

hashtag
Criar Rede Virtual

  • No grupo de recursos do SCEPman, crie uma nova Rede Virtual usando as configurações padrão ou conforme exigido pela sua organização. Isto deve incluir um sub-rede padrão.

  • Crie uma sub-rede adicional na nova Rede Virtual com as configurações padrão e defina "Delegação de Sub-rede" como Microsoft.Web/serverFarms

2

hashtag
Criar Endpoint Privado do KeyVault

  1. Navegue até o Grupo de Recursos do seu SCEPman > KeyVault > Configurações > Rede > Conexões de endpoint privado, e crie um endpoint privado

  2. Selecionar tipo de recurso: Microsoft.KeyVault/vaults

  3. Selecione o seu KeyVault por Recurso e cofre para sub-recurso de Destino

  4. Escolha a rede virtual e a sub-rede padrão (não a sub-rede criada no primeiro passo)

  5. Ativar Integrar com zona DNS privada para criar automaticamente e conectar a zona DNS Privada

3

hashtag
Criar Endpoint Privado da Conta de Armazenamento

  1. Navegue até o Grupo de Recursos do seu SCEPman > Conta de Armazenamento > Segurança + Rede > Rede > Endpoints privados e crie um Endpoint Privado

  2. Por recurso, defina o sub-recurso de destino como tabela

  3. Escolha sua rede virtual e sub-rede padrão

  4. Ativar Integrar com zona DNS privada para criar automaticamente e conectar a zona DNS Privada

4

hashtag
Integrar App Service do SCEPman

  1. Navegar para App Service do SCEPman > Rede > Adicionar integração de rede virtual ao Configuração de tráfego de saída clicando em "Não configurado"

  2. Selecione a rede virtual e a sub-rede criada no primeiro passo.

  3. Desmarque a opção "Tráfego de saída para a internet" e aplique

5

hashtag
Integrar Certificate Master App Service

  • Ao adicionar a integração de rede virtual ao segundo app service, você pode selecionar a conexão anterior da lista, não precisa criar uma nova conexão.

  • Se habilitado, desmarque a opção "Tráfego de saída para a internet" e aplique

6

hashtag
Verificar Aprovação do Endpoint Privado

Verifique se os Endpoints Privados do KeyVault e da Conta de Armazenamento estão em estado Aprovado

7

hashtag
Testes e Resultados

Uma vez confirmado, você pode desabilitar o acesso público tanto para o Key Vault quanto para a Conta de Armazenamento.

Se conectado corretamente, a página inicial do SCEPman deverá exibir todas as suas conexões como "Conectado"

Teste se a sua implementação de endpoints privados foi bem-sucedida implantando certificados usando seu MDM ou Certificate Master.

Last updated

Was this helpful?