Geheimen en certificaten voor Rotate App Service op Azure Stack Hub

Deze instructies zijn alleen van toepassing op Azure App Service in Azure Stack Hub. Rotatie van Azure App Service op Azure Stack Hub-geheimen is niet opgenomen in de gecentraliseerde procedure voor het roteren van geheimen voor Azure Stack Hub. Operators kunnen de geldigheid van geheimen in het systeem controleren, de datum waarop ze voor het laatst zijn bijgewerkt en de resterende tijd totdat de geheimen verlopen.

Belangrijk

Operators ontvangen geen waarschuwingen voor het verlopen van geheimen op het Azure Stack Hub-dashboard, omdat Azure App Service in Azure Stack Hub niet is geïntegreerd met de Azure Stack Hub-waarschuwingsservice. Operators moeten hun geheimen regelmatig bewaken met behulp van de Azure App Service op Azure Stack Hub-beheerervaring in de Azure Stack Hub-beheerdersportal.

Dit document bevat de procedure voor het roteren van de volgende geheimen:

  • Versleutelingssleutels die worden gebruikt in Azure App Service in Azure Stack Hub.
  • Databaseverbindingsreferenties die door Azure App Service in Azure Stack Hub worden gebruikt om te communiceren met de hosting- en metingdatabases.
  • Certificaten die door Azure App Service op Azure Stack Hub worden gebruikt voor het beveiligen van eindpunten en het rouleren van identiteitstoepassingscertificaten in Microsoft Entra ID of Active Directory Federation Services (AD FS).
  • Systeemreferenties voor Azure App Service op Azure Stack Hub-infrastructuurrollen.

Versleutelingssleutels roteren

Voer de volgende stappen uit om de versleutelingssleutels te roteren die worden gebruikt in Azure App Service in Azure Stack Hub:

  1. Ga naar de App Service beheerervaring in de Azure Stack Hub-beheerdersportal.

  2. Ga naar de menuoptie Geheimen .

  3. Selecteer de knop Draaien in de sectie Versleutelingssleutels.

  4. Selecteer OK om de rotatieprocedure te starten.

  5. De versleutelingssleutels worden geroteerd en alle rolinstanties worden bijgewerkt. Operators kunnen de status van de procedure controleren met behulp van de knop Status .

Verbindingsreeksen draaien

Voer de volgende stappen uit om de referenties voor de database bij te werken verbindingsreeks voor de App Service het hosten en meten van databases:

  1. Ga naar de App Service beheerervaring in de Azure Stack Hub-beheerdersportal.

  2. Ga naar de menuoptie Geheimen .

  3. Selecteer de knop Draaien in de sectie Verbindingsreeksen.

  4. Geef de gebruikersnaam en het wachtwoord van de SQL-SA op en selecteer OK om de rotatieprocedure te starten.

  5. De referenties worden geroteerd in de Azure App Service rolinstanties. Operators kunnen de status van de procedure controleren met behulp van de knop Status .

Certificaten roteren

Voer de volgende stappen uit om de certificaten te roteren die worden gebruikt in Azure App Service in Azure Stack Hub:

  1. Ga naar de App Service beheerervaring in de Azure Stack Hub-beheerdersportal.

  2. Ga naar de menuoptie Geheimen .

  3. Selecteer de knop Draaien in de sectie Certificaten

  4. Geef het certificaatbestand en het bijbehorende wachtwoord op voor de certificaten die u wilt draaien en selecteer OK.

  5. De certificaten worden geroteerd zoals vereist in de hele Azure App Service op Azure Stack Hub-rolinstanties. Operators kunnen de status van de procedure controleren met behulp van de knop Status .

Wanneer het certificaat van de identiteitstoepassing wordt geroteerd, moet de bijbehorende app in Microsoft Entra-id of AD FS ook worden bijgewerkt met het nieuwe certificaat.

Belangrijk

Als de identiteitstoepassing na rotatie niet wordt bijgewerkt met het nieuwe certificaat, wordt de gebruikersportal-ervaring voor Azure Functions verbroken, kunnen gebruikers de KUDU-ontwikkelhulpprogramma's niet gebruiken en kunnen beheerders de schaalsets van de werkrollaag niet beheren vanuit de App Service-beheerervaring.

Referenties voor de Microsoft Entra identiteitstoepassing roteren

De identiteitstoepassing wordt gemaakt door de operator vóór de implementatie van Azure App Service in Azure Stack Hub. Als de toepassings-id onbekend is, volgt u deze stappen om deze te detecteren:

  1. Ga naar de Azure Stack Hub-beheerportal.

  2. Ga naar Abonnementen en selecteer Standaardproviderabonnement.

  3. Selecteer Access Control (IAM) en selecteer de App Service toepassing.

  4. Noteer de APP-id. Deze waarde is de toepassings-id van de identiteitstoepassing die moet worden bijgewerkt in Microsoft Entra-id.

Voer de volgende stappen uit om het certificaat voor de toepassing in Microsoft Entra-id te roteren:

  1. Ga naar de Azure Portal en meld u aan met behulp van de global Beheer die worden gebruikt om Azure Stack Hub te implementeren.

  2. Ga naar Microsoft Entra-id en blader naar App-registraties.

  3. Zoek naar de toepassings-id en geef vervolgens de toepassings-id van de identiteit op.

  4. Selecteer de toepassing en ga vervolgens naar Certificaten & Geheimen.

  5. Selecteer Certificaat uploaden en upload het nieuwe certificaat voor de identiteitstoepassing met een van de volgende bestandstypen: .cer, .pem, .crt.

  6. Controleer of de vingerafdruk overeenkomt met de vingerafdruk die wordt vermeld in de App Service beheerervaring in de Azure Stack Hub-beheerdersportal.

  7. Verwijder het oude certificaat.

Certificaat voor AD FS-identiteitstoepassing roteren

De identiteitstoepassing wordt gemaakt door de operator vóór de implementatie van Azure App Service in Azure Stack Hub. Als de object-id van de toepassing onbekend is, volgt u deze stappen om deze te detecteren:

  1. Ga naar de Azure Stack Hub-beheerportal.

  2. Ga naar Abonnementen en selecteer Standaardproviderabonnement.

  3. Selecteer Access Control (IAM) en selecteer de toepassing AzureStack-AppService-guid<>.

  4. Noteer de object-id. Deze waarde is de id van de service-principal die moet worden bijgewerkt in AD FS.

Als u het certificaat voor de toepassing in AD FS wilt roteren, moet u toegang hebben tot het bevoegde eindpunt (PEP). Vervolgens werkt u de certificaatreferentie bij met behulp van PowerShell, waarbij u uw eigen waarden vervangt voor de volgende tijdelijke aanduidingen:

Tijdelijke aanduiding Beschrijving Voorbeeld
<PepVM> De naam van de bevoegde eindpunt-VM op uw Azure Stack Hub-exemplaar. "AzS-ERCS01"
<CertificateFileLocation> De locatie van uw X509-certificaat op schijf. "d:\certs\sso.cer"
<ApplicationObjectId> De id die is toegewezen aan de identiteitstoepassing. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Open een sessie met verhoogde Windows PowerShell en voer het volgende script uit:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Nadat het script is voltooid, worden de bijgewerkte app-registratiegegevens weergegeven, inclusief de vingerafdrukwaarde voor het certificaat.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Systeemreferenties roteren

Voer de volgende stappen uit om de systeemreferenties te roteren die worden gebruikt in Azure App Service in Azure Stack Hub:

  1. Ga naar de App Service beheerervaring in de Azure Stack Hub-beheerdersportal.

  2. Ga naar de menuoptie Geheimen .

  3. Selecteer de knop Draaien in de sectie Systeemreferenties.

  4. Selecteer het bereik van de systeemreferentie die u roteert. Operators kunnen ervoor kiezen om de systeemreferenties voor alle rollen of afzonderlijke rollen te roteren.

  5. Geef een nieuwe lokale Beheer gebruikersnaam en een nieuw wachtwoord op. Bevestig vervolgens het wachtwoord en selecteer OK.

  6. De referenties worden geroteerd zoals vereist in de bijbehorende Azure App Service op het azure Stack Hub-rolexemplaar. Operators kunnen de status van de procedure controleren met behulp van de knop Status .