Az App Service rotálása az Azure Stack Hubon – titkos kódok és tanúsítványok
Ezek az utasítások csak az Azure Stack Hub Azure-alkalmazás szolgáltatására vonatkoznak. Az Azure Stack Hub titkos kulcsokon futó Azure-alkalmazás szolgáltatás rotálása nem szerepel az Azure Stack Hub központi titkos kulcsok rotálási eljárásában. Az operátorok figyelhetik a titkos kódok érvényességét a rendszeren belül, az utolsó frissítés dátumát és a titkos kódok lejáratáig hátralévő időt.
Fontos
Az operátorok nem kapnak riasztásokat a titkos kódok lejáratáról az Azure Stack Hub irányítópultján, mivel Azure-alkalmazás Szolgáltatás az Azure Stack Hubon nincs integrálva az Azure Stack Hub riasztási szolgáltatással. Az operátoroknak rendszeresen monitorozniuk kell titkos kulcsaikat az Azure Stack Hub felügyeleti portáljának Azure-alkalmazás szolgáltatásával.
Ez a dokumentum a következő titkos kódok elforgatásának eljárását tartalmazza:
- Az Azure Stack Hub Azure-alkalmazás szolgáltatásában használt titkosítási kulcsok.
- A Azure-alkalmazás Szolgáltatás által az Azure Stack Hubon használt adatbázis-kapcsolati hitelesítő adatok az üzemeltetési és mérési adatbázisok kezelésére.
- A Azure-alkalmazás Service által az Azure Stack Hubon használt tanúsítványok a végpontok védelméhez és az identitásalkalmazás-tanúsítványok rotálásához a Microsoft Entra ID vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) használatával.
- Rendszer hitelesítő adatok az Azure Stack Hub-infrastruktúra-szerepkörök Azure-alkalmazás szolgáltatáshoz.
Titkosítási kulcsok elforgatása
Az Azure Stack Hub Azure-alkalmazás szolgáltatásában használt titkosítási kulcsok elforgatásához hajtsa végre a következő lépéseket:
Nyissa meg az App Service felügyeleti felületét az Azure Stack Hub felügyeleti portálján.
Nyissa meg a Titkos kódok menüt.
Válassza az Elforgatás gombot a Titkosítási kulcsok szakaszban.
Válassza az OK gombot a forgatási eljárás elindításához.
A titkosítási kulcsok forognak, és az összes szerepkörpéldány frissül. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.
Kapcsolati sztring elforgatása
Az App Service üzemeltetési és mérési adatbázisainak adatbázis-kapcsolati sztring hitelesítő adatainak frissítéséhez hajtsa végre a következő lépéseket:
Nyissa meg az App Service felügyeleti felületét az Azure Stack Hub felügyeleti portálján.
Nyissa meg a Titkos kódok menüt.
Válassza az Elforgatás gombot a Kapcsolati sztringek szakaszban.
Adja meg az SQL SA felhasználónevét és jelszavát, majd az OK gombra kattintva indítsa el a rotációs eljárást.
A hitelesítő adatok az Azure-alkalmazás szolgáltatásszerepkör-példányok során vannak elforgatva. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.
Tanúsítványok váltása
Az Azure Stack Hub Azure-alkalmazás szolgáltatásában használt tanúsítványok elforgatásához hajtsa végre a következő lépéseket:
Nyissa meg az App Service felügyeleti felületét az Azure Stack Hub felügyeleti portálján.
Nyissa meg a Titkos kódok menüt.
Válassza a Forgatás gombot a Tanúsítványok szakaszban
Adja meg a elforgatni kívánt tanúsítványokhoz tartozó tanúsítványfájlt és a hozzá tartozó jelszót, és válassza az OK gombot.
A tanúsítványok szükség szerint rotálásra kerülnek az Azure Stack Hub-szerepkörpéldányok Azure-alkalmazás szolgáltatásában. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.
Az identitásalkalmazás tanúsítványának elforgatásakor a Microsoft Entra-azonosítóban vagy az AD FS-ben lévő megfelelő alkalmazást is frissíteni kell az új tanúsítvánnyal.
Fontos
Ha a rotáció után nem frissíti az identitásalkalmazást az új tanúsítvánnyal, az megszakítja az Azure Functions felhasználói portáljának felhasználói felületét, megakadályozza, hogy a felhasználók használhassák a KUDU fejlesztői eszközeit, és megakadályozzák, hogy a rendszergazdák az App Service felügyeleti felületéről felügyelhessék a feldolgozói réteg méretezési csoportjait.
Hitelesítő adatok elforgatása a Microsoft Entra identitásalkalmazáshoz
Az identitásalkalmazást az operátor hozza létre a Azure-alkalmazás Szolgáltatás Üzembe helyezése előtt az Azure Stack Hubon. Ha az alkalmazásazonosító ismeretlen, kövesse az alábbi lépéseket a felderítéséhez:
Nyissa meg az Azure Stack Hub rendszergazdai portálját.
Lépjen az Előfizetések elemre, és válassza az Alapértelmezett szolgáltatói előfizetés lehetőséget.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, majd az App Service-alkalmazást .
Jegyezze fel az alkalmazásazonosítót, ez az érték annak az identitásalkalmazásnak az alkalmazásazonosítója, amelyet frissíteni kell a Microsoft Entra-azonosítóban.
Az alkalmazás tanúsítványának a Microsoft Entra-azonosítóban való elforgatásához kövesse az alábbi lépéseket:
Lépjen az Azure Portalra , és jelentkezzen be az Azure Stack Hub üzembe helyezéséhez használt globális rendszergazdával.
Lépjen a Microsoft Entra-azonosítóra , és keresse meg az alkalmazásregisztrációkat.
Keresse meg az alkalmazásazonosítót, majd adja meg az identitásalkalmazás azonosítóját.
Jelölje ki az alkalmazást, majd lépjen a Tanúsítványok > Titkos kódok elemre.
Válassza a Tanúsítvány feltöltése lehetőséget, és töltse fel az identitásalkalmazás új tanúsítványát a következő fájltípusok egyikével: .cer, .pem, .crt.
Győződjön meg arról, hogy az Azure Stack Hub felügyeleti portálján az App Service felügyeleti felületén felsorolt ujjlenyomat-egyezések szerepelnek.
Törölje a régi tanúsítványt.
Tanúsítvány elforgatása az AD FS-identitásalkalmazáshoz
Az identitásalkalmazást az operátor hozza létre a Azure-alkalmazás Szolgáltatás Üzembe helyezése előtt az Azure Stack Hubon. Ha az alkalmazás objektumazonosítója ismeretlen, az alábbi lépéseket követve derítheti fel:
Nyissa meg az Azure Stack Hub rendszergazdai portálját.
Lépjen az Előfizetések elemre, és válassza az Alapértelmezett szolgáltatói előfizetés lehetőséget.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, és válassza ki az AzureStack-AppService guid<> alkalmazást.
Jegyezze fel az objektumazonosítót, ez az érték annak a szolgáltatásnévnek az azonosítója, amelyet frissíteni kell az AD FS-ben.
Az alkalmazás tanúsítványának AD FS-ben való elforgatásához hozzá kell férnie a kiemelt végponthoz (PEP). Ezután frissítse a tanúsítvány hitelesítő adatait a PowerShell használatával, és cserélje le a saját értékeit a következő helyőrzőkre:
| Helyőrző | Leírás | Példa |
|---|---|---|
<PepVM> |
A kiemelt végpont virtuális gépének neve az Azure Stack Hub-példányon. | "AzS-ERCS01" |
<CertificateFileLocation> |
Az X509-tanúsítvány helye a lemezen. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Az identitásalkalmazáshoz rendelt azonosító. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Nyisson meg egy emelt szintű Windows PowerShell-munkamenetet, és futtassa a következő szkriptet:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectA szkript befejezése után megjeleníti a frissített alkalmazásregisztrációs adatokat, beleértve a tanúsítvány ujjlenyomat-értékét is.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Rendszer hitelesítő adatainak elforgatása
Az Azure Stack Hub Azure-alkalmazás szolgáltatásában használt rendszer hitelesítő adatainak elforgatásához hajtsa végre a következő lépéseket:
Nyissa meg az App Service felügyeleti felületét az Azure Stack Hub felügyeleti portálján.
Nyissa meg a Titkos kódok menüt.
Válassza az Elforgatás gombot a Rendszer hitelesítő adatai szakaszban.
Válassza ki a forgó rendszer hitelesítő adatainak hatókörét . Az operátorok dönthetnek úgy, hogy az összes szerepkörhöz vagy egyéni szerepkörhöz elforgatják a rendszer hitelesítő adatait.
Adjon meg egy új helyi rendszergazdai felhasználónevet és egy új jelszót. Ezután erősítse meg a jelszót, és válassza az OK gombot.
A hitelesítő adatok szükség szerint rotálódnak az Azure Stack Hub-szerepkörpéldány megfelelő Azure-alkalmazás szolgáltatásában. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.