Udostępnij za pośrednictwem

Rotacja usługi App Service w certyfikatach i wpisach tajnych usługi Azure Stack Hub

  • Artykuł

Te instrukcje dotyczą tylko Azure App Service w usłudze Azure Stack Hub. Rotacja Azure App Service w wpisach tajnych usługi Azure Stack Hub nie jest uwzględniana w scentralizowanej procedurze rotacji wpisów tajnych dla usługi Azure Stack Hub. Operatorzy mogą monitorować ważność wpisów tajnych w systemie, datę ich ostatniej aktualizacji oraz czas pozostały do wygaśnięcia wpisów tajnych.

Ważne

Operatorzy nie będą otrzymywać alertów dotyczących wygaśnięcia wpisu tajnego na pulpicie nawigacyjnym usługi Azure Stack Hub, ponieważ Azure App Service w usłudze Azure Stack Hub nie jest zintegrowana z usługą alertów usługi Azure Stack Hub. Operatorzy muszą regularnie monitorować swoje wpisy tajne przy użyciu Azure App Service w środowisku administracyjnym usługi Azure Stack Hub w portalu administratora usługi Azure Stack Hub.

Ten dokument zawiera procedurę rotacji następujących wpisów tajnych:

  • Klucze szyfrowania używane w Azure App Service w usłudze Azure Stack Hub.
  • Poświadczenia połączenia z bazą danych używane przez Azure App Service w usłudze Azure Stack Hub do interakcji z bazami danych hostingu i pomiarów.
  • Certyfikaty używane przez Azure App Service w usłudze Azure Stack Hub do zabezpieczania punktów końcowych i rotacji certyfikatów aplikacji tożsamości w identyfikatorze Microsoft Entra lub Active Directory Federation Services (AD FS).
  • Poświadczenia systemowe dla Azure App Service w rolach infrastruktury usługi Azure Stack Hub.

Obracanie kluczy szyfrowania

Aby obrócić klucze szyfrowania używane w Azure App Service w usłudze Azure Stack Hub, wykonaj następujące kroki:

  1. Przejdź do środowiska administracji App Service w portalu administratora usługi Azure Stack Hub.

  2. Przejdź do opcji menu Wpisy tajne .

  3. Wybierz przycisk Obróć w sekcji Klucze szyfrowania.

  4. Wybierz przycisk OK , aby rozpocząć procedurę rotacji.

  5. Klucze szyfrowania są obracane, a wszystkie wystąpienia ról są aktualizowane. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .

Obracanie parametrów połączenia

Aby zaktualizować poświadczenia bazy danych parametry połączenia dla App Service hostowania i baz danych pomiarów, wykonaj następujące kroki:

  1. Przejdź do środowiska administracji App Service w portalu administratora usługi Azure Stack Hub.

  2. Przejdź do opcji menu Wpisy tajne .

  3. Wybierz przycisk Obróć w sekcji Parametry połączenia.

  4. Podaj nazwę użytkownika i hasłousługi SQL SA, a następnie wybierz przycisk OK, aby rozpocząć procedurę rotacji.

  5. Poświadczenia są obracane w ramach wystąpień ról Azure App Service. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .

Wymiana certyfikatów

Aby wymienić certyfikaty używane w Azure App Service w usłudze Azure Stack Hub, wykonaj następujące kroki:

  1. Przejdź do środowiska administracji App Service w portalu administratora usługi Azure Stack Hub.

  2. Przejdź do opcji menu Wpisy tajne .

  3. Wybierz przycisk Obróć w sekcji Certyfikaty

  4. Podaj plik certyfikatu i skojarzone hasło dla certyfikatów, które chcesz obrócić, i wybierz przycisk OK.

  5. Certyfikaty są obracane zgodnie z wymaganiami w ramach Azure App Service w wystąpieniach ról usługi Azure Stack Hub. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .

Po rotacji certyfikatu aplikacji tożsamości odpowiednia aplikacja w identyfikatorze Microsoft Entra lub usługach AD FS musi być również aktualizowana przy użyciu nowego certyfikatu.

Ważne

Nie można zaktualizować aplikacji tożsamości przy użyciu nowego certyfikatu po rotacji spowoduje przerwanie środowiska portalu użytkowników dla Azure Functions, uniemożliwi użytkownikom korzystanie z narzędzi deweloperskich KUDU i uniemożliwi administratorom zarządzanie zestawami skalowania warstw roboczych w środowisku administrowania App Service.

Obracanie poświadczeń dla aplikacji tożsamości Microsoft Entra

Aplikacja tożsamości jest tworzona przez operatora przed wdrożeniem Azure App Service w usłudze Azure Stack Hub. Jeśli identyfikator aplikacji jest nieznany, wykonaj następujące kroki, aby go odnaleźć:

  1. Przejdź do portalu administratora usługi Azure Stack Hub.

  2. Przejdź do pozycji Subskrypcje i wybierz pozycję Domyślna subskrypcja dostawcy.

  3. Wybierz pozycję Access Control (IAM) i wybierz aplikację App Service.

  4. Zanotuj identyfikator aplikacji. Ta wartość to identyfikator aplikacji tożsamości, która musi zostać zaktualizowana w identyfikatorze Microsoft Entra.

Aby obrócić certyfikat aplikacji w identyfikatorze Microsoft Entra, wykonaj następujące kroki:

  1. Przejdź do Azure Portal i zaloguj się przy użyciu globalnej Administracja używanej do wdrożenia usługi Azure Stack Hub.

  2. Przejdź do Microsoft Entra identyfikatora i przejdź do pozycji Rejestracje aplikacji.

  3. Wyszukaj identyfikator aplikacji, a następnie określ identyfikator aplikacji tożsamości.

  4. Wybierz aplikację, a następnie przejdź do pozycji Certyfikaty & Wpisy tajne.

  5. Wybierz pozycję Przekaż certyfikat i przekaż nowy certyfikat dla aplikacji tożsamości z jednym z następujących typów plików: .cer, .pem, .crt.

  6. Upewnij się, że odcisk palca jest zgodny z wyświetlonym w środowisku administrowania App Service w portalu administratora usługi Azure Stack Hub.

  7. Usuń stary certyfikat.

Obracanie certyfikatu dla aplikacji tożsamości usług AD FS

Aplikacja tożsamości jest tworzona przez operatora przed wdrożeniem Azure App Service w usłudze Azure Stack Hub. Jeśli identyfikator obiektu aplikacji jest nieznany, wykonaj następujące kroki, aby go odnaleźć:

  1. Przejdź do portalu administratora usługi Azure Stack Hub.

  2. Przejdź do pozycji Subskrypcje i wybierz pozycję Domyślna subskrypcja dostawcy.

  3. Wybierz pozycję Access Control (IAM) i wybierz aplikację AzureStack-AppService-guid<>.

  4. Zanotuj identyfikator obiektu. Ta wartość jest identyfikatorem jednostki usługi, która musi zostać zaktualizowana w usługach AD FS.

Aby wymienić certyfikat aplikacji w usługach AD FS, musisz mieć dostęp do uprzywilejowanego punktu końcowego (PEP). Następnie zaktualizujesz poświadczenia certyfikatu przy użyciu programu PowerShell, zastępując własne wartości dla następujących symboli zastępczych:

Symbol zastępczy Opis Przykład
<PepVM> Nazwa uprzywilejowanej maszyny wirtualnej punktu końcowego w wystąpieniu usługi Azure Stack Hub. "AzS-ERCS01"
<CertificateFileLocation> Lokalizacja certyfikatu X509 na dysku. "d:\certs\sso.cer"
<ApplicationObjectId> Identyfikator przypisany do aplikacji tożsamości. "S-1-5-21-401916501-2345862468-1451220656-1451"

  1. Otwórz sesję z podwyższonym poziomem uprawnień Windows PowerShell i uruchom następujący skrypt:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. Po zakończeniu działania skryptu zostaną wyświetlone zaktualizowane informacje o rejestracji aplikacji, w tym wartość odcisku palca certyfikatu.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Obracanie poświadczeń systemowych

Aby obrócić poświadczenia systemowe używane w Azure App Service w usłudze Azure Stack Hub, wykonaj następujące kroki:

  1. Przejdź do środowiska administracji App Service w portalu administratora usługi Azure Stack Hub.

  2. Przejdź do opcji menu Wpisy tajne .

  3. Wybierz przycisk Obróć w sekcji Poświadczenia systemowe.

  4. Wybierz zakres rotacji poświadczeń systemowych. Operatorzy mogą wybrać rotację poświadczeń systemowych dla wszystkich ról lub poszczególnych ról.

  5. Określ nową nazwę użytkownika lokalnej Administracja i nowe hasło. Następnie potwierdź hasło i wybierz przycisk OK.

  6. Poświadczenia są obracane zgodnie z wymaganiami w odpowiednim Azure App Service w wystąpieniu roli usługi Azure Stack Hub. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .