Rotación de secretos y certificados de App Service en Azure Stack Hub
Estas instrucciones solo se aplican a Azure App Service en Azure Stack Hub. La rotación de los secretos de Azure App Service en Azure Stack Hub no se incluye en el procedimiento centralizado de rotación de secretos de Azure Stack Hub. Los operadores pueden supervisar la validez de los secretos dentro del sistema, la fecha en la que se actualizaron por última vez y el tiempo restante hasta que expiren.
Importante
Los operadores no recibirán alertas en el panel de Azure Stack Hub cuando expire un secreto, ya que Azure App Service en Azure Stack Hub no está integrado con el servicio de alertas de Azure Stack Hub. Los operadores deben supervisar regularmente sus secretos con la experiencia de administración de Azure App Service en Azure Stack Hub en el portal de administración de Azure Stack Hub.
Este documento contiene el procedimiento para rotar los siguientes secretos:
- Claves de cifrado usadas en Azure App Service en Azure Stack Hub.
- Credenciales de conexión de base de datos que se usan en Azure App Service en Azure Stack Hub para interactuar con las bases de datos de hospedaje y medición.
- Certificados usados por Azure App Service en Azure Stack Hub para proteger los puntos de conexión y la rotación del certificado de la aplicación de identidad en Microsoft Entra ID o los Servicios de federación de Active Directory (AD FS).
- Credenciales del sistema de los roles de infraestructura de Azure App Service en Azure Stack Hub.
Rotación de las claves de cifrado
Para rotar las claves de cifrado usadas en Azure App Service en Azure Stack Hub, realice los pasos siguientes:
Vaya a la experiencia de administración de App Service en el portal de administración de Azure Stack Hub.
Vaya a la opción de menú Secrets (Secretos).
Haga clic en el botón Rotate (Rotar) de la sección de claves de cifrado.
Seleccione OK (Aceptar) para iniciar el procedimiento de rotación.
Las claves de cifrado se rotan y se actualizan todas las instancias de rol. Los operadores pueden comprobar el estado del procedimiento mediante el botón Status (Estado).
Rotación de las cadenas de conexión
Para actualizar las credenciales de la cadena de conexión de las bases de datos de hospedaje y medición de App Service, realice los pasos siguientes:
Vaya a la experiencia de administración de App Service en el portal de administración de Azure Stack Hub.
Vaya a la opción de menú Secrets (Secretos).
Seleccione el botón Rotate (Rotar) de la sección de cadenas de conexión.
Proporcione el nombre de usuario de SA de SQL y la contraseña y seleccione OK (Aceptar) para iniciar el procedimiento de rotación.
Las credenciales se rotarán en todas las instancias de rol de Azure App Service. Los operadores pueden comprobar el estado del procedimiento mediante el botón Status (Estado).
Rotación de certificados
Para rotar los certificados usados en Azure App Service en Azure Stack Hub, realice los pasos siguientes:
Vaya a la experiencia de administración de App Service en el portal de administración de Azure Stack Hub.
Vaya a la opción de menú Secrets (Secretos).
Seleccione el botón Rotate (Rotar) de la sección de certificados.
Proporcione el archivo de certificado y la contraseña asociada de los certificados que quiere rotar y seleccione OK (Aceptar).
Los certificados se rotarán según sea necesario en las instancias de rol de Azure App Service en Azure Stack Hub. Los operadores pueden comprobar el estado del procedimiento mediante el botón Status (Estado).
Cuando se rota el certificado de la aplicación de identidad, la aplicación correspondiente de Microsoft Entra ID o AD FS también se debe actualizar con el nuevo certificado.
Importante
Si no se actualiza la aplicación de identidad con el nuevo certificado después de la rotación, se interrumpirá la experiencia del portal de usuarios para Azure Functions, impedirá que los usuarios puedan usar las herramientas de desarrollo de KUDU e impedirá que los administradores administren los conjuntos de escalado de los niveles de trabajo desde la experiencia de administración de App Service.
Rotación de credenciales para la aplicación de identidad de Microsoft Entra
El operador crea la aplicación de identidad antes de la implementación de Azure App Service en Azure Stack Hub. Si se desconoce el identificador de aplicación, siga estos pasos para averiguarlo:
Abra el portal de administración de Azure Stack Hub.
Vaya a Subscriptions (Suscripciones) y seleccione Default Provider Subscription (Suscripción de proveedor predeterminada).
Seleccione Access Control (IAM) y seleccione la aplicación App Service.
Tome nota del valor de APP ID (identificador de aplicación), este valor es el identificador de la aplicación de identidad que se debe actualizar en Microsoft Entra ID.
Para rotar el certificado de la aplicación en Microsoft Entra ID, siga estos pasos:
Vaya a Azure Portal e inicie sesión con el administrador usado para implementar Azure Stack Hub.
Vaya a Microsoft Entra ID y vaya a Registros de aplicaciones.
Busque el campo Identificador de aplicación y especifique el identificador de la aplicación de identidad.
Seleccione la aplicación y, después, vaya a Certificados y secretos.
Seleccione Cargar certificado y cargue el nuevo certificado para la aplicación de identidad con uno de los siguientes tipos de archivo: .cer, .pem y .crt.
Confirme que la huella digital coincide con la que aparece en la experiencia de administración de App Service en el portal de administración de Azure Stack Hub.
Elimine el antiguo certificado.
Rotación del certificado para la aplicación de identidad de ADFS
El operador crea la aplicación de identidad antes de la implementación de Azure App Service en Azure Stack Hub. Si se desconoce el identificador de objeto de la aplicación, siga estos pasos para averiguarlo:
Abra el portal de administración de Azure Stack Hub.
Vaya a Subscriptions (Suscripciones) y seleccione Default Provider Subscription (Suscripción de proveedor predeterminada).
Seleccione Control de acceso (IAM) y seleccione la aplicación AzureStack-AppService-<GUID>.
Tome nota del campo Object ID (Identificador de objeto), este valor es el identificador de la entidad de servicio que se debe actualizar en AD FS.
Para rotar el certificado de la aplicación en AD FS, debe tener acceso al punto de conexión con privilegios (PEP). A continuación, actualice la credencial de certificado con PowerShell y reemplace sus propios valores por los marcadores de posición siguientes:
Marcador de posición | Descripción | Ejemplo |
---|---|---|
<PepVM> |
Nombre de la VM del extremo de conexión con privilegios en la instancia de Azure Stack Hub. | "AzS-ERCS01" |
<CertificateFileLocation> |
Ubicación en el disco del certificado X509. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Identificador asignado a la aplicación de identidad. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Abra una sesión de Windows PowerShell con privilegios elevados y ejecute el script siguiente:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObject
Cuando el script finaliza, muestra la información de registro de la aplicación actualizada, incluido el valor de la huella digital del certificado.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Rotación de las credenciales del sistema
Para rotar las credenciales del sistema usadas en Azure App Service en Azure Stack Hub, realice los pasos siguientes:
Vaya a la experiencia de administración de App Service en el portal de administración de Azure Stack Hub.
Vaya a la opción de menú Secrets (Secretos).
Seleccione el botón Girar en la sección Credenciales del sistema.
Importante
Si el ámbito seleccionado es All o Management Server, la credencial de los controladores también se actualiza con el nuevo nombre de usuario y la contraseña especificados.
Seleccione el ámbito de la credencial del sistema que va a rotar. Los operadores pueden elegir rotar las credenciales del sistema para todos los roles o para roles individuales.
Especifique un nuevo nombre de usuario administrador local y una nueva contraseña. A continuación, confirme la contraseña y seleccione OK (Aceptar).
Las credenciales se rotan según sea necesario a lo largo del servicio App de Azure correspondiente en la instancia de rol de Azure Stack Hub. Los operadores pueden comprobar el estado del procedimiento mediante el botón Status (Estado).