Rotieren von Geheimnissen und Zertifikaten in App Service in Azure Stack Hub
Diese Anweisungen gelten nur für Azure App Service in Azure Stack Hub. Das Rotieren von Geheimnissen in Azure App Service in Azure Stack Hub ist nicht Teil des zentralisierten Rotationsverfahrens von Geheimnissen für Azure Stack Hub. Bediener können die Gültigkeit von Geheimnissen innerhalb des Systems, das Datum der letzten Aktualisierung und die verbleibende Zeit bis zum Ablauf der Geheimnisse überwachen.
Wichtig
Die Bediener erhalten keine Warnungen zum Ablauf von Geheimnissen im Azure Stack Hub-Dashboard, da Azure App Service in Azure Stack Hub nicht in den Azure Stack Hub-Warnungsdienst integriert ist. Die Bediener müssen die Geheimnisse regelmäßig mit den Verwaltungsfunktionen für Azure App Service in Azure Stack Hub im Azure Stack Hub-Administratorportal überprüfen.
Dieses Dokument enthält die Vorgehensweise zum Rotieren der folgenden Geheimnisse:
- Verschlüsselungsschlüssel, die in Azure App Service in Azure Stack Hub verwendet werden
- Anmeldeinformationen für Datenbankverbindungen, die von Azure App Service in Azure Stack Hub für die Interaktion mit den Hosting- und Messungsdatenbanken verwendet werden
- Zertifikate, die von Azure App Service in Azure Stack Hub zum Sichern von Endpunkten und zur Rotation des Identitätsanwendungszertifikats in Microsoft Entra ID oder Active Directory-Verbunddienste (AD FS) verwendet werden.
- Systemanmeldeinformationen für Rollen in Azure App Service in Azure Stack Hub
Rotieren von Verschlüsselungsschlüsseln
Führen Sie zum Rotieren der Verschlüsselungsschlüssel, die in Azure App Service in Azure Stack Hub verwendet werden, die folgenden Schritte aus:
Navigieren Sie zur App Service-Verwaltungsoberfläche im Azure Stack Hub-Administratorportal.
Navigieren Sie zur Menüoption Geheimnisse.
Klicken Sie im Abschnitt „Verschlüsselungsschlüssel“ auf die Schaltfläche Rotieren.
Wählen Sie OK aus, um die Rotation zu starten.
Die Verschlüsselungsschlüssel werden rotiert, und alle Rolleninstanzen werden aktualisiert. Bediener können den Status mithilfe der Schaltfläche Status überprüfen.
Rotieren von Verbindungszeichenfolgen
Führen Sie zum Aktualisieren der Anmeldeinformationen für die Datenbankverbindungszeichenfolge für die App Service-Hosting- und Messungsdatenbanken die folgenden Schritte aus:
Navigieren Sie zur App Service-Verwaltungsoberfläche im Azure Stack Hub-Administratorportal.
Navigieren Sie zur Menüoption Geheimnisse.
Klicken Sie im Abschnitt „Verbindungszeichenfolgen“ auf die Schaltfläche Rotieren.
Geben Sie den SQL SA-Benutzernamen und das Kennwort ein, und wählen Sie OK aus, um die Rotation zu starten.
Die Anmeldeinformationen werden in allen Azure App Service-Rolleninstanzen rotiert. Bediener können den Status mithilfe der Schaltfläche Status überprüfen.
Rotieren von Zertifikaten
Führen Sie zum Rotieren der Zertifikate, die in Azure App Service in Azure Stack Hub verwendet werden, die folgenden Schritte aus:
Navigieren Sie zur App Service-Verwaltungsoberfläche im Azure Stack Hub-Administratorportal.
Navigieren Sie zur Menüoption Geheimnisse.
Klicken Sie im Abschnitt „Zertifikate“ auf die Schaltfläche Rotieren.
Geben Sie die Zertifikatsdatei und das zugehörige Kennwort für die zu rotierenden Zertifikate an, und wählen Sie OK aus.
Die Zertifikate werden in allen Rolleninstanzen für Azure App Service in Azure Stack Hub wie erforderlich rotiert. Bediener können den Status mithilfe der Schaltfläche Status überprüfen.
Wenn das Identitätsanwendungszertifikat rotiert wird, muss die entsprechende App in Microsoft Entra ID oder AD FS ebenfalls mit dem neuen Zertifikat aktualisiert werden.
Wichtig
Wenn die Identitätsanwendung nicht mit dem neuen Zertifikat aktualisiert wird, kommt es im Benutzerportal für Azure Functions zu Unterbrechungen bzw. Fehlern. Benutzer können dann nicht mehr die Kudu-Entwicklertools verwenden, und Administratoren können in App Service keine Skalierungsgruppen auf Workerebene verwalten.
Drehen von Anmeldeinformationen für die Microsoft Entra-Identitätsanwendung
Die Identitätsanwendung wird vom Operator vor der Bereitstellung von Azure App Service in Azure Stack Hub erstellt. Wenn die Anwendungs-ID unbekannt ist, führen Sie die folgenden Schritte aus, um sie zu ermitteln:
Navigieren Sie zum Azure Stack Hub-Administratorportal.
Navigieren Sie zu Abonnements, und wählen Sie Standardabonnement des Anbieters aus.
Wählen Sie Zugriffssteuerung (IAM) und dann die Anwendung App Service aus.
Notieren Sie sich die App-ID. Dieser Wert ist die Anwendungs-ID der Identitätsanwendung, die in Microsoft Entra ID aktualisiert werden muss.
Führen Sie die folgenden Schritte aus, um das Zertifikat für die Anwendung in Microsoft Entra ID zu rotieren:
Wechseln Sie zum Azure-Portal, und melden Sie sich mit dem Administrator an, der zum Bereitstellen von Azure Stack Hub verwendet wurde.
Wechseln Sie zu Microsoft Entra ID und navigieren Sie zu App-Registrierungen.
Suchen Sie nach der Anwendungs-ID, und geben Sie dann die Identitätsanwendungs-ID an.
Wählen Sie die Anwendung aus, und navigieren Sie dann zu Zertifikate und Geheimnisse.
Wählen Sie Zertifikat hochladen aus, und laden Sie das neue Zertifikat für die Identitätsanwendung mit einem der folgenden Dateitypen hoch: „.cer“, „.pem“ oder „.crt“.
Vergewissern Sie sich, dass der Fingerabdruck mit dem Fingerabdruck übereinstimmt, der in der App Service-Verwaltungsoberfläche im Azure Stack Hub-Administratorportal aufgeführt ist.
Löschen Sie das alte Zertifikat.
Rotieren des Zertifikats für die AD FS-Identitätsanwendung
Die Identitätsanwendung wird vom Operator vor der Bereitstellung von Azure App Service in Azure Stack Hub erstellt. Wenn die Objekt-ID der Anwendung unbekannt ist, führen Sie die folgenden Schritte aus, um sie zu ermitteln:
Navigieren Sie zum Azure Stack Hub-Administratorportal.
Navigieren Sie zu Abonnements, und wählen Sie Standardabonnement des Anbieters aus.
Wählen Sie Zugriffssteuerung (IAM) und dann die Anwendung AzureStack-AppService-<guid> aus.
Notieren Sie sich die Objekt-ID. Dieser Wert ist die ID des Dienstprinzipals, der in AD FS aktualisiert werden muss.
Um das Zertifikat für die Anwendung in AD FS zu rotieren, benötigen Sie Zugriff auf den privilegierten Endpunkt (PEP). Anschließend aktualisieren Sie die Zertifikatanmeldeinformationen mithilfe von PowerShell, indem Sie die folgenden Platzhalter durch Ihre eigenen Werte ersetzen:
Platzhalter | Beschreibung | Beispiel |
---|---|---|
<PepVM> |
Der Name der privilegierten Endpunkt-VM in Ihrer Azure Stack Hub-Instanz. | "AzS-ERCS01" |
<CertificateFileLocation> |
Der Speicherort des X509-Zertifikats auf dem Datenträger. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Der Bezeichner, der der Identitätsanwendung zugewiesen ist. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Rechten, und führen Sie das folgende Skript aus:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObject
Nachdem das Skript ausgeführt wurde, zeigt es die aktualisierten App-Registrierungsinformationen an, einschließlich des Fingerabdruckwerts für das Zertifikat.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Rotieren von Systemanmeldeinformationen
Führen Sie zum Rotieren der Systemanmeldeinformationen, die in Azure App Service in Azure Stack Hub verwendet werden, die folgenden Schritte aus:
Navigieren Sie zur App Service-Verwaltungsoberfläche im Azure Stack Hub-Administratorportal.
Navigieren Sie zur Menüoption Geheimnisse.
Wählen Sie im Abschnitt "Systemanmeldeinformationen" die Schaltfläche "Drehen" aus.
Wichtig
Wenn der von Ihnen ausgewählte Bereich "Alle" oder "Verwaltungsserver" ist, werden die Anmeldeinformationen für die Controller auch mit dem angegebenen neuen Benutzernamen und Kennwort aktualisiert.
Wählen Sie den Bereich der Systemanmeldeinformationen aus, die Sie drehen. Operatoren können die Systemanmeldeinformationen für alle Rollen oder für einzelne Rollen drehen.
Geben Sie neue Werte für Benutzername des lokalen Administrators und Kennwort an. Bestätigen Sie das Kennwort, und wählen Sie OK aus.
Die Anmeldeinformationen werden während der entsprechenden Azure-App Dienst auf azure Stack Hub-Rolleninstanz nach Bedarf gedreht. Bediener können den Status mithilfe der Schaltfläche Status überprüfen.