Sdílet prostřednictvím


Obměna tajných klíčů a certifikátů služby App Service ve službě Azure Stack Hub

Tyto pokyny platí jenom pro službu Aplikace Azure Service ve službě Azure Stack Hub. Obměna tajných kódů služby Aplikace Azure Service ve službě Azure Stack Hub není součástí centralizovaného postupu obměny tajných kódů pro Azure Stack Hub. Operátoři můžou monitorovat platnost tajných kódů v systému, datum poslední aktualizace a zbývající čas do vypršení platnosti tajných kódů.

Důležité

Operátoři nebudou dostávat upozornění na vypršení platnosti tajných kódů na řídicím panelu služby Azure Stack Hub, protože služba Aplikace Azure Ve službě Azure Stack Hub není integrovaná se službou upozorňování služby Azure Stack Hub. Operátoři musí pravidelně monitorovat tajné kódy pomocí služby Aplikace Azure Service ve službě Azure Stack Hub na portálu pro správu služby Azure Stack Hub.

Tento dokument obsahuje postup obměně následujících tajných kódů:

  • Šifrovací klíče používané ve službě Aplikace Azure Service ve službě Azure Stack Hub.
  • Přihlašovací údaje pro připojení k databázi používané službou Aplikace Azure Service ve službě Azure Stack Hub k interakci s databázemi hostování a měření.
  • Certifikáty používané službou Aplikace Azure Service ve službě Azure Stack Hub k zabezpečení koncových bodů a obměně certifikátů aplikací identit v Microsoft Entra ID nebo Active Directory Federation Services (AD FS) (AD FS).
  • Systémové přihlašovací údaje pro role infrastruktury služby Aplikace Azure Service ve službě Azure Stack Hub.

Obměna šifrovacích klíčů

Pokud chcete šifrovací klíče použité ve službě Aplikace Azure Ve službě Azure Stack Hub otočit, postupujte následovně:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Šifrovací klíče vyberte tlačítko Otočit.

  4. Chcete-li spustit postup otáčení, vyberte OK .

  5. Šifrovací klíče se obměňují a aktualizují se všechny instance rolí. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.

Otočení připojovací řetězec

Pokud chcete aktualizovat přihlašovací údaje pro databázi připojovací řetězec pro hostování a databáze měření služby App Service, proveďte následující kroky:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Připojovací řetězce vyberte tlačítko Otočit.

  4. Zadejte uživatelské jméno a heslo SQL SA a vyberte OK a spusťte postup obměně.

  5. Přihlašovací údaje se obměňují v rámci instancí rolí služby Aplikace Azure. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.

Rotace certifikátů

Pokud chcete otočit certifikáty používané ve službě Aplikace Azure Service ve službě Azure Stack Hub, postupujte následovně:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. Výběr tlačítka Otočit v části Certifikáty

  4. Zadejte soubor certifikátu a přidružené heslo pro certifikáty, které chcete otočit, a vyberte OK.

  5. Certifikáty se obměňují podle potřeby v rámci služby Aplikace Azure Service v instancích rolí služby Azure Stack Hub. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.

Při obměně certifikátu aplikace identity musí být odpovídající aplikace v Microsoft Entra ID nebo AD FS také aktualizována novým certifikátem.

Důležité

Při aktualizaci aplikace identit pomocí nového certifikátu po obměně dojde k narušení prostředí portálu User Portal pro Azure Functions, zabrání uživatelům používat vývojářské nástroje KUDU a správci nebudou moct spravovat škálovací sady vrstvy pracovních procesů v prostředí pro správu služby App Service.

Obměna přihlašovacích údajů pro aplikaci Microsoft Entra identity

Aplikaci identit vytvoří operátor před nasazením služby Aplikace Azure Service ve službě Azure Stack Hub. Pokud je ID aplikace neznámé, zjistěte ho následujícím postupem:

  1. Přejděte na portál pro správu služby Azure Stack Hub.

  2. Přejděte na Předplatná a vyberte Výchozí předplatné poskytovatele.

  3. Vyberte Řízení přístupu (IAM) a vyberte aplikaci App Service .

  4. Poznamenejte si ID aplikace, tato hodnota je ID aplikace identity, která se musí aktualizovat v Microsoft Entra ID.

Chcete-li otočit certifikát pro aplikaci v MICROSOFT Entra ID, postupujte takto:

  1. Přejděte na web Azure Portal a přihlaste se pomocí správce použitého k nasazení služby Azure Stack Hub.

  2. Přejděte na ID Microsoft Entra a přejděte na Registrace aplikací.

  3. Vyhledejte ID aplikace a pak zadejte ID aplikace identity.

  4. Vyberte aplikaci a pak přejděte na Certifikáty a tajné kódy.

  5. Vyberte Nahrát certifikát a nahrajte nový certifikát pro aplikaci identity s jedním z následujících typů souborů: .cer, .pem, .crt.

  6. Ověřte, že kryptografický otisk odpovídá tomu, co je uvedené v prostředí pro správu služby App Service na portálu pro správu služby Azure Stack Hub.

  7. Odstraňte starý certifikát.

Obměna certifikátu pro aplikaci identit služby AD FS

Aplikaci identit vytvoří operátor před nasazením služby Aplikace Azure Service ve službě Azure Stack Hub. Pokud je ID objektu aplikace neznámé, zjistěte ho následujícím postupem:

  1. Přejděte na portál pro správu služby Azure Stack Hub.

  2. Přejděte na Předplatná a vyberte Výchozí předplatné poskytovatele.

  3. Vyberte Řízení přístupu (IAM) a vyberte aplikaci AzureStack-AppService-guid><.

  4. Poznamenejte si ID objektu, tato hodnota je ID instančního objektu, který se musí aktualizovat ve službě AD FS.

Pokud chcete certifikát pro aplikaci ve službě AD FS otočit, musíte mít přístup k privilegovanému koncovému bodu (PEP). Potom pomocí PowerShellu aktualizujete přihlašovací údaje certifikátu a nahradíte vlastní hodnoty pro následující zástupné symboly:

Zástupný symbol Popis Příklad
<PepVM> Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub. AzS-ERCS01
<CertificateFileLocation> Umístění certifikátu X509 na disku. "d:\certs\sso.cer"
<ApplicationObjectId> Identifikátor přiřazený aplikaci identity. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující skript:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Po dokončení skriptu se zobrazí aktualizované informace o registraci aplikace, včetně hodnoty kryptografického otisku certifikátu.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Obměna systémových přihlašovacích údajů

Pokud chcete otočit přihlašovací údaje systému používané ve službě Aplikace Azure Service ve službě Azure Stack Hub, proveďte následující kroky:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Systémové přihlašovací údaje vyberte tlačítko Otočit.

    Důležité

    Pokud vybraný obor je Vše nebo Server pro správu, přihlašovací údaje pro kontrolery se aktualizují také zadaným novým uživatelským jménem a heslem.

  4. Vyberte obor přihlašovacích údajů systému, které rotujete. Operátoři se můžou rozhodnout otočit přihlašovací údaje systému pro všechny role nebo pro jednotlivé role.

  5. Zadejte nové uživatelské jméno místního správce a nové heslo. Pak potvrďte heslo a vyberte OK.

  6. Přihlašovací údaje se obměňují podle potřeby v rámci odpovídající služby Aplikace Azure Služby ve službě Azure Stack Hub. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.

Další kroky

Přehled služby Aplikace Azure ve službě Azure Stack