Rotacja usługi App Service w certyfikatach i wpisach tajnych usługi Azure Stack Hub
Te instrukcje dotyczą tylko usługi aplikacja systemu Azure w usłudze Azure Stack Hub. Rotacja usługi aplikacja systemu Azure w wpisach tajnych usługi Azure Stack Hub nie jest uwzględniana w scentralizowanej procedurze rotacji wpisów tajnych dla usługi Azure Stack Hub. Operatorzy mogą monitorować ważność wpisów tajnych w systemie, datę ich ostatniej aktualizacji oraz czas pozostały do wygaśnięcia wpisów tajnych.
Ważne
Operatorzy nie będą otrzymywać alertów dotyczących wygaśnięcia wpisu tajnego na pulpicie nawigacyjnym usługi Azure Stack Hub, ponieważ usługa aplikacja systemu Azure w usłudze Azure Stack Hub nie jest zintegrowana z usługą alertów usługi Azure Stack Hub. Operatorzy muszą regularnie monitorować swoje wpisy tajne przy użyciu usługi aplikacja systemu Azure Service w środowisku administracyjnym usługi Azure Stack Hub w portalu administratora usługi Azure Stack Hub.
Ten dokument zawiera procedurę rotacji następujących wpisów tajnych:
- Klucze szyfrowania używane w usłudze aplikacja systemu Azure w usłudze Azure Stack Hub.
- Poświadczenia połączenia bazy danych używane przez usługę aplikacja systemu Azure w usłudze Azure Stack Hub do interakcji z bazami danych hostingu i pomiarów.
- Certyfikaty używane przez usługę aplikacja systemu Azure w usłudze Azure Stack Hub do zabezpieczania punktów końcowych i rotacji certyfikatów aplikacji tożsamości w usłudze Microsoft Entra ID lub Active Directory Federation Services (AD FS).
- Poświadczenia systemu dla usługi aplikacja systemu Azure Service w rolach infrastruktury usługi Azure Stack Hub.
Obracanie kluczy szyfrowania
Aby obrócić klucze szyfrowania używane w usłudze aplikacja systemu Azure w usłudze Azure Stack Hub, wykonaj następujące czynności:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do opcji menu Wpisy tajne .
Wybierz przycisk Obróć w sekcji Klucze szyfrowania.
Wybierz przycisk OK , aby rozpocząć procedurę rotacji.
Klucze szyfrowania są obracane, a wszystkie wystąpienia ról są aktualizowane. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Obracanie parametry połączenia
Aby zaktualizować poświadczenia bazy danych parametry połączenia dla baz danych hostingu i pomiarów usługi App Service, wykonaj następujące kroki:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do opcji menu Wpisy tajne .
Wybierz przycisk Obróć w sekcji Parametry połączenia.
Podaj nazwę użytkownika i hasło programu SQL SA, a następnie wybierz przycisk OK, aby rozpocząć procedurę rotacji.
Poświadczenia są obracane w obrębie wystąpień roli usługi aplikacja systemu Azure. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Wymiana certyfikatów
Aby obrócić certyfikaty używane w usłudze aplikacja systemu Azure Service w usłudze Azure Stack Hub, wykonaj następujące kroki:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do opcji menu Wpisy tajne .
Wybierz przycisk Obróć w sekcji Certyfikaty
Podaj plik certyfikatu i skojarzone hasło dla certyfikatów, które chcesz obrócić, i wybierz przycisk OK.
Certyfikaty są obracane zgodnie z wymaganiami w usłudze aplikacja systemu Azure w wystąpieniach ról usługi Azure Stack Hub. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Po rotacji certyfikatu aplikacji tożsamości odpowiednia aplikacja w usłudze Microsoft Entra ID lub AD FS musi również zostać zaktualizowana przy użyciu nowego certyfikatu.
Ważne
Nie można zaktualizować aplikacji tożsamości przy użyciu nowego certyfikatu po rotacji spowoduje przerwanie środowiska portalu użytkowników dla usługi Azure Functions, uniemożliwi użytkownikom korzystanie z narzędzi deweloperskich KUDU i uniemożliwi administratorom zarządzanie zestawami skalowania warstw procesów roboczych z poziomu środowiska administracyjnego usługi App Service.
Obracanie poświadczeń dla aplikacji tożsamości firmy Microsoft Entra
Aplikacja tożsamości jest tworzona przez operatora przed wdrożeniem usługi aplikacja systemu Azure w usłudze Azure Stack Hub. Jeśli identyfikator aplikacji jest nieznany, wykonaj następujące kroki, aby go odnaleźć:
Przejdź do portalu administratora usługi Azure Stack Hub.
Przejdź do pozycji Subskrypcje i wybierz pozycję Domyślna subskrypcja dostawcy.
Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i wybierz aplikację usługi App Service .
Zanotuj identyfikator aplikacji. Ta wartość to identyfikator aplikacji tożsamości, która musi zostać zaktualizowana w identyfikatorze Entra firmy Microsoft.
Aby obrócić certyfikat dla aplikacji w usłudze Microsoft Entra ID, wykonaj następujące kroki:
Przejdź do witryny Azure Portal i zaloguj się przy użyciu administratora użytego do wdrożenia usługi Azure Stack Hub.
Przejdź do pozycji Microsoft Entra ID i przejdź do pozycji Rejestracje aplikacji.
Wyszukaj identyfikator aplikacji, a następnie określ identyfikator aplikacji tożsamości.
Wybierz aplikację, a następnie przejdź do pozycji Certyfikaty i wpisy tajne.
Wybierz pozycję Przekaż certyfikat i przekaż nowy certyfikat dla aplikacji tożsamości z jednym z następujących typów plików: .cer, pem, crt.
Upewnij się, że odcisk palca jest zgodny z elementami wymienionymi w środowisku administrowania usługą App Service w portalu administratora usługi Azure Stack Hub.
Usuń stary certyfikat.
Obracanie certyfikatu dla aplikacji tożsamości usług AD FS
Aplikacja tożsamości jest tworzona przez operatora przed wdrożeniem usługi aplikacja systemu Azure w usłudze Azure Stack Hub. Jeśli identyfikator obiektu aplikacji jest nieznany, wykonaj następujące kroki, aby go odnaleźć:
Przejdź do portalu administratora usługi Azure Stack Hub.
Przejdź do pozycji Subskrypcje i wybierz pozycję Domyślna subskrypcja dostawcy.
Wybierz pozycję Kontrola dostępu (IAM) i wybierz aplikację AzureStack-AppService-guid><.
Zanotuj identyfikator obiektu. Ta wartość jest identyfikatorem jednostki usługi, która musi zostać zaktualizowana w usługach AD FS.
Aby obrócić certyfikat aplikacji w usługach AD FS, musisz mieć dostęp do uprzywilejowanego punktu końcowego (PEP). Następnie zaktualizujesz poświadczenia certyfikatu przy użyciu programu PowerShell, zastępując własne wartości dla następujących symboli zastępczych:
Symbol zastępczy | opis | Przykład |
---|---|---|
<PepVM> |
Nazwa uprzywilejowanej maszyny wirtualnej punktu końcowego w wystąpieniu usługi Azure Stack Hub. | "AzS-ERCS01" |
<CertificateFileLocation> |
Lokalizacja certyfikatu X509 na dysku. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Identyfikator przypisany do aplikacji tożsamości. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Otwórz sesję programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchom następujący skrypt:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObject
Po zakończeniu działania skryptu wyświetla zaktualizowane informacje o rejestracji aplikacji, w tym wartość odcisku palca certyfikatu.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Obracanie poświadczeń systemowych
Aby obrócić poświadczenia systemowe używane w usłudze aplikacja systemu Azure w usłudze Azure Stack Hub, wykonaj następujące czynności:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do opcji menu Wpisy tajne .
Wybierz przycisk Obróć w sekcji Poświadczenia systemowe.
Ważne
Jeśli wybrany zakres to Wszystkie lub Serwer zarządzania, poświadczenia dla kontrolerów są również aktualizowane przy użyciu określonej nowej nazwy użytkownika i hasła.
Wybierz zakres rotacji poświadczeń systemowych. Operatorzy mogą wybrać rotację poświadczeń systemowych dla wszystkich ról lub dla poszczególnych ról.
Określ nową nazwę użytkownika administratora lokalnego i nowe hasło. Następnie potwierdź hasło i wybierz przycisk OK.
Poświadczenia są obracane zgodnie z wymaganiami w ramach odpowiedniego wystąpienia roli usługi aplikacja systemu Azure w usłudze Azure Stack Hub. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Następne kroki
Omówienie usługi aplikacja systemu Azure w usłudze Azure Stack