Share via


Ruotare segreti e certificati nel servizio app dell'hub di Azure Stack

Queste istruzioni si applicano solo alle Servizio app di Azure nell'hub di Azure Stack. La rotazione dei segreti di Servizio app di Azure nell'hub di Azure Stack non è inclusa nella procedura centralizzata di rotazione dei segreti per l'hub di Azure Stack. Gli operatori possono monitorare la validità dei segreti all'interno del sistema, la data dell'ultimo aggiornamento e il tempo rimanente alla scadenza dei segreti.

Importante

Gli operatori non riceveranno alcun avviso di scadenza dei segreti nel dashboard dell'hub di Azure Stack poiché Servizio app di Azure nell'hub di Azure Stack non è integrato con il servizio avvisi dell'hub di Azure Stack. Gli operatori devono monitorare regolarmente i segreti usando Servizio app di Azure nell'esperienza di amministrazione dell'hub di Azure Stack all'interno del portale dell'amministratore dell'hub di Azure Stack.

Questo documento contiene la procedura per la rotazione dei segreti seguenti:

  • Chiavi di crittografia usate in Servizio app di Azure nell'hub di Azure Stack.
  • Credenziali di connessione al database usate da Servizio app di Azure nell'hub di Azure Stack per interagire con i database di hosting e misurazione.
  • Certificati usati da Servizio app di Azure nell'hub di Azure Stack per proteggere gli endpoint e la rotazione dei certificati dell'applicazione di identità in Microsoft Entra ID o Active Directory Federation Services (AD FS).
  • Credenziali di sistema per Servizio app di Azure nei ruoli dell'infrastruttura dell'hub di Azure Stack.

Ruotare chiavi di crittografia

Per ruotare le chiavi di crittografia usate in Servizio app di Azure nell'hub di Azure Stack, seguire questa procedura:

  1. Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Chiavi di crittografia.

  4. Scegliere OK per avviare la procedura di rotazione.

  5. Le chiavi di crittografia vengono ruotate e tutte le istanze del ruolo vengono aggiornate. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.

Ruotare stringhe di connessione

Per aggiornare le credenziali della stringa di connessione ai database di hosting e misurazione di Servizio app di Azure, seguire questa procedura:

  1. Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Stringhe di connessione.

  4. Specificare i valori Nome utente SA SQL e Password e scegliere OK per avviare la procedura di rotazione.

  5. Le credenziali vengono ruotate tra le varie istanze del ruolo di Servizio app di Azure. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.

Ruotare i certificati

Per ruotare i certificati usati in Servizio app di Azure nell'hub di Azure Stack, seguire questa procedura:

  1. Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Certificati

  4. Specificare il file di certificato e la relativa password per i certificati che si vuole ruotare e selezionare OK.

  5. I certificati vengono ruotati tra le varie istanze del ruolo di Servizio app di Azure nell'hub di Azure Stack. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.

Quando il certificato dell'applicazione di identità viene ruotato, anche l'app corrispondente in Microsoft Entra ID o AD FS deve essere aggiornata con il nuovo certificato.

Importante

Se dopo la rotazione non si aggiorna l'applicazione di gestione delle identità con il nuovo certificato, si interromperà l'esperienza del portale utente per Funzioni di Azure e si impedirà agli utenti di usare gli strumenti di sviluppo KUDU e agli amministratori di gestire i set di scalabilità dei livelli del ruolo di lavoro dall'esperienza di amministrazione di Servizio app.

Ruotare le credenziali per l'applicazione di identità Microsoft Entra

L'applicazione di gestione delle identità viene creata dall'operatore prima della distribuzione di Servizio app di Azure nell'hub di Azure Stack. Se l'ID applicazione è sconosciuto, seguire questa procedura per trovarlo:

  1. Accedere al portale dell'amministratore dell'hub di Azure Stack.

  2. Passare a Sottoscrizioni e selezionare Sottoscrizione del provider predefinita.

  3. Selezionare Controllo di accesso (IAM) e selezionare l'applicazione Servizio app di Azure.

  4. Prendere nota dell'ID APP, questo valore è l'ID applicazione dell'applicazione di identità che deve essere aggiornata in Microsoft Entra ID.

Per ruotare il certificato per l'applicazione in Microsoft Entra ID, seguire questa procedura:

  1. Passare al portale di Azure e accedere usando le credenziali di amministratore globale usate per distribuire l'hub di Azure Stack.

  2. Passare a Microsoft Entra ID e passare a Registrazioni app.

  3. Cercare l'ID applicazione, quindi specificare l'ID dell'applicazione di gestione delle identità.

  4. Selezionare l'applicazione e quindi passare a Certificati & Segreti.

  5. Selezionare Carica certificato e caricare il nuovo certificato per l'applicazione di gestione delle identità in uno dei formati seguenti: .cer, .pem, .crt.

  6. Verificare che l'identificazione personale corrisponda a quella elencata nell'esperienza di amministrazione di Servizio app di Azure nel portale dell'amministratore dell'hub di Azure Stack.

  7. Eliminare il certificato precedente.

Ruotare il certificato per l'applicazione di identità AD FS

L'applicazione di gestione delle identità viene creata dall'operatore prima della distribuzione di Servizio app di Azure nell'hub di Azure Stack. Se l'ID oggetto dell'applicazione è sconosciuto, seguire questa procedura per trovarlo:

  1. Accedere al portale dell'amministratore dell'hub di Azure Stack.

  2. Passare a Sottoscrizioni e selezionare Sottoscrizione del provider predefinita.

  3. Selezionare Controllo di accesso (IAM) e selezionare l'applicazione AzureStack-AppService-guid<>.

  4. Prendere nota del valore ID oggetto, si tratta dell'ID dell'entità servizio che deve essere aggiornata in AD FS.

Per ruotare il certificato dell'applicazione in AD FS, è necessario disporre dell'accesso all'endpoint con privilegi (PEP). È quindi necessario aggiornare le credenziali del certificato tramite PowerShell, sostituendo i valori pre-esistenti con i segnaposto seguenti:

Segnaposto Descrizione Esempio
<PepVM> Nome della macchina virtuale dell'endpoint con privilegi nell'istanza dell'hub di Azure Stack. "AzS-ERCS01"
<CertificateFileLocation> Percorso del certificato X509 su disco. "d:\certs\sso.cer"
<ApplicationObjectId> Identificatore assegnato all'applicazione di gestione delle identità. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Aprire una sessione di Windows PowerShell con privilegi elevati ed eseguire lo script seguente:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Al termine dello script vengono visualizzate le informazioni aggiornate relative alla registrazione dell'app, incluso il valore di identificazione personale per il certificato.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Ruotare credenziali di sistema

Per ruotare le credenziali di sistema usate in Servizio app di Azure nell'hub di Azure Stack, seguire questa procedura:

  1. Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Credenziali di sistema.

  4. Selezionare l'ambito delle credenziali di sistema che si sta ruotando. Gli operatori possono scegliere di ruotare le credenziali di sistema per tutti i ruoli o per singoli ruoli.

  5. Specificare un nuovo Nome utente amministratore locale e una nuova Password. Confermare quindi la Password e scegliere OK.

  6. Le credenziali vengono ruotate tra le corrispondenti istanze del ruolo di Servizio app di Azure nell'hub di Azure Stack. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.