Sdílet prostřednictvím

Obměna tajných klíčů a certifikátů služby App Service ve službě Azure Stack Hub

  • Článek

Tyto pokyny platí jenom pro Azure App Service ve službě Azure Stack Hub. Obměna Azure App Service tajných kódů služby Azure Stack Hub není součástí centralizované obměny tajných kódů pro Službu Stack Hub. Operátoři můžou monitorovat platnost tajných kódů v systému, datum jejich poslední aktualizace a zbývající čas do vypršení platnosti tajných kódů.

Důležité

Operátoři nebudou na řídicím panelu služby Azure Stack Hub dostávat upozornění na vypršení platnosti tajných kódů, protože Azure App Service ve službě Azure Stack Hub není integrovaná se službou upozornění služby Azure Stack Hub. Operátoři musí pravidelně monitorovat své tajné kódy pomocí Azure App Service v prostředí pro správu služby Azure Stack Hub na portálu pro správu služby Azure Stack Hub.

Tento dokument obsahuje postup pro obměně následujících tajných kódů:

  • Šifrovací klíče používané v rámci Azure App Service ve službě Azure Stack Hub.
  • Přihlašovací údaje pro připojení k databázi používané Azure App Service ve službě Azure Stack Hub k interakci s databázemi hostování a měření.
  • Certifikáty používané Azure App Service ve službě Azure Stack Hub k zabezpečení koncových bodů a obměně certifikátů aplikací identit v Microsoft Entra ID nebo Active Directory Federation Services (AD FS) (AD FS).
  • Systémové přihlašovací údaje pro Azure App Service v rolích infrastruktury služby Azure Stack Hub.

Obměna šifrovacích klíčů

Pokud chcete obměňovat šifrovací klíče používané v rámci Azure App Service ve službě Azure Stack Hub, proveďte následující kroky:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Šifrovací klíče vyberte tlačítko Otočit .

  4. Výběrem OK spusťte postup obměně.

  5. Šifrovací klíče se obměňují a aktualizují se všechny instance rolí. Operátory můžou zkontrolovat stav procedury pomocí tlačítka Stav .

Otočení připojovacích řetězců

Pokud chcete aktualizovat přihlašovací údaje pro databázi připojovací řetězec pro databáze hostování a měření App Service, proveďte následující kroky:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Připojovací řetězce vyberte tlačítko Otočit .

  4. Zadejte uživatelské jméno a hesloSA SQL a výběrem OK spusťte postup obměně.

  5. Přihlašovací údaje se obměňují v rámci Azure App Service instancí rolí. Operátory můžou zkontrolovat stav procedury pomocí tlačítka Stav .

Rotace certifikátů

Pokud chcete obměňovat certifikáty používané v rámci Azure App Service ve službě Azure Stack Hub, proveďte následující kroky:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Certifikáty vyberte tlačítko Otočit .

  4. Zadejte soubor certifikátu a přidružené heslo pro certifikáty, které chcete otočit, a vyberte OK.

  5. Certifikáty se podle potřeby obměňují v rámci Azure App Service v instancích rolí služby Azure Stack Hub. Operátory můžou zkontrolovat stav procedury pomocí tlačítka Stav .

Při obměně certifikátu aplikace identity musí být odpovídajícím aplikacím v id Microsoft Entra nebo službě AD FS také aktualizován nový certifikát.

Důležité

Pokud po obměně neaktualizujete aplikaci identit novým certifikátem, dojde k narušení prostředí portálu User Portal pro Azure Functions, znemožní uživatelům používat vývojářské nástroje KUDU a správcům zabrání ve správě škálovacích sad na úrovni pracovního procesu v prostředí pro správu App Service.

Obměna přihlašovacích údajů pro aplikaci identity Microsoft Entra

Aplikaci identity vytvoří operátor před nasazením Azure App Service ve službě Azure Stack Hub. Pokud je ID aplikace neznámé, zjistěte ho následujícím postupem:

  1. Přejděte na portál pro správu Služby Azure Stack Hub.

  2. Přejděte na Předplatná a vyberte Výchozí předplatné poskytovatele.

  3. Vyberte Access Control (IAM) a vyberte aplikaci App Service.

  4. Poznamenejte si ID APLIKACE. Tato hodnota je ID aplikace identity, která se musí aktualizovat v Microsoft Entra ID.

Pokud chcete otočit certifikát pro aplikaci v ID Microsoft Entra, postupujte takto:

  1. Přejděte na Azure Portal a přihlaste se pomocí globálního Správa použitého k nasazení služby Azure Stack Hub.

  2. Přejděte na Microsoft Entra ID a přejděte na Registrace aplikací.

  3. Vyhledejte ID aplikace a pak zadejte ID aplikace identity.

  4. Vyberte aplikaci a pak přejděte do části Certifikáty & tajné kódy.

  5. Vyberte Nahrát certifikát a nahrajte nový certifikát pro aplikaci identity s jedním z následujících typů souborů: .cer, .pem, .crt.

  6. Ověřte, že kryptografický otisk odpovídá kryptografickému otisku, který je uvedený v prostředí pro správu App Service na portálu pro správu služby Azure Stack Hub.

  7. Odstraňte starý certifikát.

Obměna certifikátu pro aplikaci identity SLUŽBY AD FS

Aplikaci identity vytvoří operátor před nasazením Azure App Service ve službě Azure Stack Hub. Pokud je ID objektu aplikace neznámé, zjistěte ho následujícím postupem:

  1. Přejděte na portál pro správu Služby Azure Stack Hub.

  2. Přejděte na Předplatná a vyberte Výchozí předplatné poskytovatele.

  3. Vyberte Access Control (IAM) a vyberte aplikaci AzureStack-AppService-guid<>.

  4. Poznamenejte si ID objektu. Tato hodnota je ID instančního objektu, které je potřeba aktualizovat ve službě AD FS.

Pokud chcete obměňovat certifikát pro aplikaci ve službě AD FS, musíte mít přístup k privilegovanému koncovému bodu (PEP). Potom pomocí PowerShellu aktualizujete přihlašovací údaje certifikátu a nahradíte vlastní hodnoty následujícími zástupnými symboly:

Zástupný symbol Popis Příklad
<PepVM> Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub. "AzS-ERCS01"
<CertificateFileLocation> Umístění certifikátu X509 na disku. "d:\certs\sso.cer"
<ApplicationObjectId> Identifikátor přiřazený aplikaci identity. "S-1-5-21-401916501-2345862468-1451220656-1451"

  1. Otevřete relaci Windows PowerShell se zvýšenými oprávněními a spusťte následující skript:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. Po dokončení skriptu se zobrazí aktualizované informace o registraci aplikace, včetně hodnoty kryptografického otisku certifikátu.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Obměna přihlašovacích údajů systému

Pokud chcete obměnět systémové přihlašovací údaje používané v rámci Azure App Service ve službě Azure Stack Hub, proveďte následující kroky:

  1. Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu App Service.

  2. Přejděte na možnost nabídky Tajné kódy .

  3. V části Přihlašovací údaje systému vyberte tlačítko Otočit .

  4. Vyberte obor systémových přihlašovacích údajů, které otáčíte. Operátoři můžou obměnět systémové přihlašovací údaje pro všechny role nebo jednotlivé role.

  5. Zadejte nové místní Správa uživatelské jméno a nové heslo. Pak potvrďte heslo a vyberte OK.

  6. Přihlašovací údaje se podle potřeby obměňují v rámci odpovídajících Azure App Service v instanci role Služby Azure Stack Hub. Operátory můžou zkontrolovat stav procedury pomocí tlačítka Stav .