Rodar segredos e certificados do Serviço de Aplicações no Azure Stack Hub

  • Artigo

Estas instruções aplicam-se apenas a Serviço de Aplicações do Azure no Azure Stack Hub. A rotação de Serviço de Aplicações do Azure em segredos do Azure Stack Hub não está incluída no procedimento de rotação de segredos centralizado para o Azure Stack Hub. Os operadores podem monitorizar a validade dos segredos no sistema, a data em que foram atualizados pela última vez e a hora restante até os segredos expirarem.

Importante

Os operadores não receberão alertas para a expiração de segredos no dashboard do Azure Stack Hub, uma vez que Serviço de Aplicações do Azure no Azure Stack Hub não está integrado no serviço de alerta do Azure Stack Hub. Os operadores têm de monitorizar regularmente os respetivos segredos através do Serviço de Aplicações do Azure na experiência de administração do Azure Stack Hub no portal de administrador do Azure Stack Hub.

Este documento contém o procedimento para rodar os seguintes segredos:

  • Chaves de encriptação utilizadas no Serviço de Aplicações do Azure no Azure Stack Hub.
  • Credenciais de ligação de base de dados utilizadas pelo Serviço de Aplicações do Azure no Azure Stack Hub para interagir com as bases de dados de alojamento e medição.
  • Certificados utilizados por Serviço de Aplicações do Azure no Azure Stack Hub para proteger pontos finais e rotação de certificados de aplicação de identidade no ID ou Serviços de Federação do Active Directory (AD FS) de Microsoft Entra (AD FS).
  • Credenciais de sistema para Serviço de Aplicações do Azure em funções de infraestrutura do Azure Stack Hub.

Rodar chaves de encriptação

Para rodar as chaves de encriptação utilizadas no Serviço de Aplicações do Azure no Azure Stack Hub, siga os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.

  2. Aceda à opção de menu Segredos .

  3. Selecione o botão Rodar na secção Chaves de Encriptação.

  4. Selecione OK para iniciar o procedimento de rotação.

  5. As chaves de encriptação são rodadas e todas as instâncias de função são atualizadas. Os operadores podem verificar o estado do procedimento com o botão Estado .

Rodar cadeias de ligação

Para atualizar as credenciais da base de dados cadeia de ligação para as bases de dados de alojamento e medição Serviço de Aplicações, siga os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.

  2. Aceda à opção de menu Segredos .

  3. Selecione o botão Rodar na secção Cadeias de Ligação.

  4. Forneça o Nome de Utilizador e a Palavra-passe da SA do SQL e selecione OK para iniciar o procedimento de rotação.

  5. As credenciais são rodadas em todas as instâncias de função Serviço de Aplicações do Azure. Os operadores podem verificar o estado do procedimento com o botão Estado .

Rodar certificados

Para rodar os certificados utilizados no Serviço de Aplicações do Azure no Azure Stack Hub, siga os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.

  2. Aceda à opção de menu Segredos .

  3. Selecione o botão Rodar na secção Certificados

  4. Forneça o ficheiro de certificado e a palavra-passe associada para os certificados que pretende rodar e selecione OK.

  5. Os certificados são rodados conforme necessário em todo o Serviço de Aplicações do Azure em instâncias de função do Azure Stack Hub. Os operadores podem verificar o estado do procedimento com o botão Estado .

Quando o certificado da aplicação de identidade é rodado, a aplicação correspondente no Microsoft Entra ID ou no AD FS também tem de ser atualizada com o novo certificado.

Importante

A não atualização da aplicação de identidade com o novo certificado após a rotação irá interromper a experiência do portal de utilizador para Funções do Azure, impedir que os utilizadores possam utilizar as ferramentas de programador KUDU e impedir que os administradores gerem conjuntos de dimensionamento de escalões de trabalho da experiência de administração do Serviço de Aplicações.

Rodar credenciais para a aplicação de identidade Microsoft Entra

A aplicação de identidade é criada pelo operador antes da implementação de Serviço de Aplicações do Azure no Azure Stack Hub. Se o ID da aplicação for desconhecido, siga estes passos para o descobrir:

  1. Aceda ao portal de administrador do Azure Stack Hub.

  2. Aceda a Subscrições e selecione Subscrição de Fornecedor Predefinida.

  3. Selecione Controlo de Acesso (IAM) e selecione a aplicação Serviço de Aplicações.

  4. Tome nota do ID da APLICAÇÃO, este valor é o ID da aplicação de identidade que tem de ser atualizado no Microsoft Entra ID.

Para rodar o certificado para a aplicação no Microsoft Entra ID, siga estes passos:

  1. Aceda ao portal do Azure e inicie sessão com o Administração Global utilizado para implementar o Azure Stack Hub.

  2. Aceda a Microsoft Entra ID e navegue para Registos de Aplicações.

  3. Procure o ID da Aplicação e, em seguida, especifique o ID da Aplicação de identidade.

  4. Selecione a aplicação e, em seguida, aceda a Certificados & Segredos.

  5. Selecione Carregar certificado e carregue o novo certificado para a aplicação de identidade com um dos seguintes tipos de ficheiro: .cer, .pem, .crt.

  6. Confirme as correspondências de thumbprint listadas na experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.

  7. Eliminar o certificado antigo.

Rodar certificado para a aplicação de identidade do AD FS

A aplicação de identidade é criada pelo operador antes da implementação de Serviço de Aplicações do Azure no Azure Stack Hub. Se o ID do objeto da aplicação for desconhecido, siga estes passos para o descobrir:

  1. Aceda ao portal de administrador do Azure Stack Hub.

  2. Aceda a Subscrições e selecione Subscrição de Fornecedor Predefinida.

  3. Selecione Controlo de Acesso (IAM) e selecione a aplicação AzureStack-AppService-guid<>.

  4. Tome nota do ID do Objeto. Este valor é o ID do Principal de Serviço que tem de ser atualizado no AD FS.

Para rodar o certificado para a aplicação no AD FS, tem de ter acesso ao ponto final privilegiado (PEP). Em seguida, atualize a credencial do certificado com o PowerShell, substituindo os seus próprios valores pelos seguintes marcadores de posição:

Marcador de posição Descrição Exemplo
<PepVM> O nome da VM de ponto final privilegiado na instância do Azure Stack Hub. "AzS-ERCS01"
<CertificateFileLocation> A localização do certificado X509 no disco. "d:\certs\sso.cer"
<ApplicationObjectId> O identificador atribuído à aplicação de identidade. "S-1-5-21-401916501-2345862468-145120656-1451"

  1. Abra uma sessão de Windows PowerShell elevada e execute o seguinte script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. Após a conclusão do script, apresenta as informações de registo da aplicação atualizadas, incluindo o valor thumbprint do certificado.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Rodar credenciais do sistema

Para rodar as credenciais de sistema utilizadas no Serviço de Aplicações do Azure no Azure Stack Hub, siga os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.

  2. Aceda à opção de menu Segredos .

  3. Selecione o botão Rodar na secção Credenciais do Sistema.

  4. Selecione o Âmbito da Credencial do Sistema que está a rodar. Os operadores podem optar por rodar as credenciais do sistema para todas as funções ou funções individuais.

  5. Especifique um novo Nome de Utilizador Administração Local e uma nova Palavra-passe. Em seguida, confirme a Palavra-passe e selecione OK.

  6. As credenciais são rodadas conforme necessário em toda a Serviço de Aplicações do Azure correspondente na instância de função do Azure Stack Hub. Os operadores podem verificar o estado do procedimento com o botão Estado .