Memutar App Service di rahasia dan sertifikat Azure Stack Hub

Artikel
03/29/2024

Petunjuk ini hanya berlaku untuk Azure App Service di Azure Stack Hub. Putaran Azure App Service pada rahasia Azure Stack Hub tidak disertakan dalam prosedur putaran rahasia terpusat untuk Azure Stack Hub. Operator dapat memantau validitas rahasia dalam sistem, tanggal terakhir diperbarui, dan waktu yang tersisa hingga rahasia kedaluwarsa.

Penting

Operator tidak akan menerima peringatan kedaluwarsa rahasia di dasbor Azure Stack Hub karena Azure App Service di Azure Stack Hub tidak terintegrasi dengan layanan peringatan Azure Stack Hub. Operator harus secara teratur memantau rahasia mereka menggunakan Azure App Service pada pengalaman administrasi Azure Stack Hub di portal administrator Azure Stack Hub.

Dokumen ini berisi prosedur untuk memutar rahasia berikut:

Kunci enkripsi yang digunakan dalam Azure App Service di Azure Stack Hub.
Kredensial koneksi database yang digunakan oleh Azure App Service di Azure Stack Hub untuk berinteraksi dengan database hosting dan pengukuran.
Sertifikat yang digunakan oleh Azure App Service di Azure Stack Hub untuk mengamankan titik akhir dan rotasi sertifikat aplikasi identitas dalam ID Microsoft Entra atau Active Directory Federation Services (AD FS).
Kredensial sistem untuk Azure App Service pada peran infrastruktur Azure Stack Hub.

Memutar kunci enkripsi

Untuk memutar kunci enkripsi yang digunakan dalam Azure App Service di Azure Stack Hub, lakukan langkah-langkah berikut:

Buka pengalaman administrasi App Service di portal administrator Azure Stack Hub.
Buka opsi menu Rahasia.
Pilih tombol Putar di bagian Kunci Enkripsi.
Pilih OK untuk memulai prosedur pemutaran.
Kunci enkripsi diputar dan semua instans peran diperbarui. Operator dapat memeriksa status prosedur menggunakan tombol Status.

Memutar string koneksi

Untuk memperbarui kredensial string koneksi database untuk database pengukuran dan hosting App Service, lakukan langkah-langkah berikut:

Buka pengalaman administrasi App Service di portal administrator Azure Stack Hub.
Buka opsi menu Rahasia.
Pilih tombol Putar di bagian String Koneksi.
Berikan Nama Pengguna SQL SA dan Kata Sandi dan pilih OK untuk memulai prosedur pemutaran.
Kredensial diputar di seluruh instans peran Azure App Service. Operator dapat memeriksa status prosedur menggunakan tombol Status.

Memutar sertifikat

Untuk memutar sertifikat yang digunakan dalam Azure App Service di Azure Stack Hub, lakukan langkah-langkah berikut:

Buka pengalaman administrasi App Service di portal administrator Azure Stack Hub.
Buka opsi menu Rahasia.
Pilih tombol Putar di bagian Sertifikat
Berikan file sertifikat dan kata sandi terkait untuk sertifikat yang ingin Anda putar dan pilih OK.
Sertifikat diputar sesuai kebutuhan di seluruh instans peran Azure App Service di Azure Stack Hub. Operator dapat memeriksa status prosedur menggunakan tombol Status.

Saat sertifikat aplikasi identitas diputar, aplikasi yang sesuai di ID Microsoft Entra atau LAYANAN Federasi Direktori Aktif juga harus diperbarui dengan sertifikat baru.

Penting

Kegagalan memperbarui aplikasi identitas dengan sertifikat baru setelah pemutaran akan merusak pengalaman portal pengguna untuk Azure Functions, mencegah pengguna untuk dapat menggunakan alat pengembang KUDU, dan mencegah admin mengelola kumpulan skala tingkat pekerja dari pengalaman administrasi App Service.

Memutar kredensial untuk aplikasi identitas Microsoft Entra

Aplikasi identitas dibuat oleh operator sebelum penyebaran Azure App Service di Azure Stack Hub. Jika ID aplikasi tidak diketahui, ikuti langkah-langkah berikut untuk menemukannya:

Buka portal administrator Azure Stack Hub.
Buka Langganan dan pilih Langganan Penyedia Default.
Pilih Access Control (IAM) dan pilih aplikasi App Service.
Perhatikan ID APLIKASI, nilai ini adalah ID aplikasi dari aplikasi identitas yang harus diperbarui dalam ID Microsoft Entra.

Untuk memutar sertifikat untuk aplikasi dalam ID Microsoft Entra, ikuti langkah-langkah berikut:

Buka portal Microsoft Azure dan masuk menggunakan Admin Global yang digunakan untuk menyebarkan Azure Stack Hub.
Buka ID Microsoft Entra dan telusuri Pendaftaran Aplikasi.
Cari ID Aplikasi, lalu tentukan identitas ID Aplikasi.
Pilih aplikasi lalu buka Sertifikat & Rahasia.
Pilih Unggah sertifikat dan unggah sertifikat baru untuk aplikasi identitas dengan salah satu jenis file berikut: .cer, .pem, .crt.
Konfirmasikan kecocokan sidik jari yang tercantum dalam pengalaman administrasi App Service di portal administrator Azure Stack Hub.
Menghapus sertifikat lama.

Putar sertifikat untuk aplikasi identitas Active Directory Federation Service

Aplikasi identitas dibuat oleh operator sebelum penyebaran Azure App Service di Azure Stack Hub. Jika ID objek aplikasi tidak diketahui, ikuti langkah-langkah berikut untuk menemukannya:

Buka portal administrator Azure Stack Hub.
Buka Langganan dan pilih Langganan Penyedia Default.
Pilih Access Control (IAM) dan pilih aplikasi AzureStack-AppService-<guid>.
Perhatikan ID Objek, nilai ini adalah ID dari Perwakilan Layanan yang harus diperbarui di AD FS.

Untuk memutar sertifikat aplikasi di AD FS, Anda harus memiliki akses ke titik akhir istimewa (PEP). Kemudian Anda memperbarui kredensial sertifikat menggunakan PowerShell, menggantikan nilai Anda sendiri untuk tempat penampung berikut:

Tempat penampung	Deskripsi	Contoh
`<PepVM>`	Nama VM titik akhir istimewa pada instans Azure Stack Hub Anda.	"AzS-ERCS01"
`<CertificateFileLocation>`	Lokasi sertifikat X509 Anda di disk.	"d:\certs\sso.cer"
`<ApplicationObjectId>`	Pengidentifikasi yang ditetapkan untuk aplikasi identitas.	"S-1-5-21-401916501-2345862468-1451220656-1451"

Buka sesi Windows PowerShell yang ditinggikan dan jalankan skrip berikut:

# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

Setelah skrip selesai, hal ini akan menampilkan info pendaftaran aplikasi yang diperbarui, termasuk nilai thumbprint untuk sertifikat.

ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Memutar kredensial sistem

Untuk memutar kredensial sistem yang digunakan dalam Azure App Service di Azure Stack Hub, lakukan langkah-langkah berikut:

Buka pengalaman administrasi App Service di portal administrator Azure Stack Hub.
Buka opsi menu Rahasia.
Pilih tombol Putar di bagian Kredensial Sistem.
Pilih Cakupan Kredensial Sistem yang Anda putar. Operator dapat memilih memutar kredensial sistem untuk semua peran atau peran individu.
Tentukan Nama Pengguna Admin Lokal baru dan Kata Sandi baru. Kemudian konfirmasikan Kata Sandi dan pilih OK.
Kredensial diputar sesuai kebutuhan di seluruh instans peran Azure App Service di Azure Stack Hub terkait. Operator dapat memeriksa status prosedur menggunakan tombol Status.