Ruotare segreti e certificati nel servizio app dell'hub di Azure Stack
Queste istruzioni si applicano solo al servizio app Azure nell'hub di Azure Stack. La rotazione dei segreti di Servizio app di Azure nell'hub di Azure Stack non è inclusa nella procedura centralizzata di rotazione dei segreti per l'hub di Azure Stack. Gli operatori possono monitorare la validità dei segreti all'interno del sistema, la data dell'ultimo aggiornamento e il tempo rimanente alla scadenza dei segreti.
Importante
Gli operatori non riceveranno alcun avviso di scadenza dei segreti nel dashboard dell'hub di Azure Stack poiché Servizio app di Azure nell'hub di Azure Stack non è integrato con il servizio avvisi dell'hub di Azure Stack. Gli operatori devono monitorare regolarmente i segreti usando Servizio app di Azure nell'esperienza di amministrazione dell'hub di Azure Stack all'interno del portale dell'amministratore dell'hub di Azure Stack.
Questo documento contiene la procedura per la rotazione dei segreti seguenti:
- Chiavi di crittografia usate in Servizio app di Azure nell'hub di Azure Stack.
- Credenziali di connessione al database usate da Servizio app di Azure nell'hub di Azure Stack per interagire con i database di hosting e misurazione.
- Certificati usati da Servizio app di Azure nell'hub di Azure Stack per proteggere gli endpoint e la rotazione dei certificati dell'applicazione di gestione delle identità Microsoft Entra ID o in Active Directory Federation Services (AD FS).
- Credenziali di sistema per Servizio app di Azure nei ruoli dell'infrastruttura dell'hub di Azure Stack.
Ruotare chiavi di crittografia
Per ruotare le chiavi di crittografia usate in Servizio app di Azure nell'hub di Azure Stack, seguire questa procedura:
Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.
Passare all'opzione di menu Segreti.
Selezionare il pulsante Ruota nella sezione Chiavi di crittografia.
Scegliere OK per avviare la procedura di rotazione.
Le chiavi di crittografia vengono ruotate e tutte le istanze del ruolo vengono aggiornate. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.
Ruotare stringhe di connessione
Per aggiornare le credenziali della stringa di connessione ai database di hosting e misurazione di Servizio app di Azure, seguire questa procedura:
Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.
Passare all'opzione di menu Segreti.
Selezionare il pulsante Ruota nella sezione Stringhe di connessione.
Specificare i valori Nome utente SA SQL e Password e scegliere OK per avviare la procedura di rotazione.
Le credenziali vengono ruotate tra le varie istanze del ruolo di Servizio app di Azure. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.
Ruotare i certificati
Per ruotare i certificati usati in Servizio app di Azure nell'hub di Azure Stack, seguire questa procedura:
Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.
Passare all'opzione di menu Segreti.
Selezionare il pulsante Ruota nella sezione Certificati
Specificare il file di certificato e la relativa password per i certificati che si vuole ruotare e selezionare OK.
I certificati vengono ruotati tra le varie istanze del ruolo di Servizio app di Azure nell'hub di Azure Stack. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.
Se viene ruotato il certificato dell'applicazione di gestione delle identità, deve essere aggiornata con il nuovo certificato anche l'app corrispondente in Microsoft Entra ID o AD FS.
Importante
Se dopo la rotazione non si aggiorna l'applicazione di gestione delle identità con il nuovo certificato, si interromperà l'esperienza del portale utente per Funzioni di Azure e si impedirà agli utenti di usare gli strumenti di sviluppo KUDU e agli amministratori di gestire i set di scalabilità dei livelli del ruolo di lavoro dall'esperienza di amministrazione di Servizio app.
Ruotare le credenziali per l'applicazione di identità Microsoft Entra
L'applicazione di gestione delle identità viene creata dall'operatore prima della distribuzione di Servizio app di Azure nell'hub di Azure Stack. Se l'ID applicazione è sconosciuto, seguire questa procedura per trovarlo:
Accedere al portale dell'amministratore dell'hub di Azure Stack.
Passare a Sottoscrizioni e selezionare Sottoscrizione del provider predefinita.
Selezionare Controllo di accesso (IAM) e selezionare l'applicazione Servizio app di Azure.
Prendere nota del valore ID APP: si tratta dell'ID dell'applicazione di gestione delle identità che deve essere aggiornata in Microsoft Entra ID.
Per ruotare il certificato per l'applicazione in Microsoft Entra ID, seguire questa procedura:
Passare al portale di Azure e accedere usando l'amministratore usato per distribuire l'hub di Azure Stack.
Passare a Microsoft Entra ID e poi a Registrazioni app.
Cercare l'ID applicazione, quindi specificare l'ID dell'applicazione di gestione delle identità.
Selezionare l'applicazione e quindi passare a Certificati e segreti.
Selezionare Carica certificato e caricare il nuovo certificato per l'applicazione di gestione delle identità in uno dei formati seguenti: .cer, .pem, .crt.
Verificare che l'identificazione personale corrisponda a quella elencata nell'esperienza di amministrazione di Servizio app di Azure nel portale dell'amministratore dell'hub di Azure Stack.
Eliminare il certificato precedente.
Ruotare il certificato per l'applicazione di identità AD FS
L'applicazione di gestione delle identità viene creata dall'operatore prima della distribuzione di Servizio app di Azure nell'hub di Azure Stack. Se l'ID oggetto dell'applicazione è sconosciuto, seguire questa procedura per trovarlo:
Accedere al portale dell'amministratore dell'hub di Azure Stack.
Passare a Sottoscrizioni e selezionare Sottoscrizione del provider predefinita.
Selezionare Controllo di accesso (IAM) e selezionare l'applicazione AzureStack-AppService-guid><.
Prendere nota del valore ID oggetto, si tratta dell'ID dell'entità servizio che deve essere aggiornata in AD FS.
Per ruotare il certificato dell'applicazione in AD FS, è necessario disporre dell'accesso all'endpoint con privilegi (PEP). È quindi necessario aggiornare le credenziali del certificato tramite PowerShell, sostituendo i valori pre-esistenti con i segnaposto seguenti:
| Segnaposto | Descrizione | Esempio |
|---|---|---|
<PepVM> |
Nome della macchina virtuale dell'endpoint con privilegi nell'istanza dell'hub di Azure Stack. | "AzS-ERCS01" |
<CertificateFileLocation> |
Percorso del certificato X509 su disco. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Identificatore assegnato all'applicazione di gestione delle identità. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Aprire una sessione di Windows PowerShell con privilegi elevati ed eseguire lo script seguente:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectAl termine dello script vengono visualizzate le informazioni aggiornate relative alla registrazione dell'app, incluso il valore di identificazione personale per il certificato.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Ruotare credenziali di sistema
Per ruotare le credenziali di sistema usate in Servizio app di Azure nell'hub di Azure Stack, seguire questa procedura:
Passare all'esperienza di amministrazione di Servizio app nel portale dell'amministratore dell'hub di Azure Stack.
Passare all'opzione di menu Segreti.
Selezionare il pulsante Ruota nella sezione Credenziali di sistema.
Importante
Se l'ambito selezionato è All o Management Server, le credenziali per i controller vengono aggiornate anche con il nuovo nome utente e la password specificati.
Selezionare l'ambito delle credenziali di sistema che si sta ruotando. Gli operatori possono scegliere di ruotare le credenziali di sistema per tutti i ruoli o per i singoli ruoli.
Specificare un nuovo Nome utente amministratore locale e una nuova Password. Confermare quindi la Password e scegliere OK.
Le credenziali vengono ruotate in base alle esigenze nell'istanza del ruolo del servizio app Azure corrispondente nell'hub di Azure Stack. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.