Rodar segredos e certificados do Serviço de Aplicações no Azure Stack Hub
Estas instruções aplicam-se apenas ao Serviço de Aplicativo do Azure no Azure Stack Hub. A rotação do Serviço de Aplicativo do Azure nos segredos do Azure Stack Hub não está incluída no procedimento de rotação de segredos centralizados para o Azure Stack Hub. Os operadores podem monitorar a validade dos segredos dentro do sistema, a data em que eles foram atualizados pela última vez e o tempo restante até que os segredos expirem.
Importante
Os operadores não receberão alertas de expiração secreta no painel do Azure Stack Hub, pois o Serviço de Aplicativo do Azure no Azure Stack Hub não está integrado ao serviço de alerta do Azure Stack Hub. Os operadores devem monitorar regularmente seus segredos usando o Serviço de Aplicativo do Azure na experiência de administração do Azure Stack Hub no portal do administrador do Azure Stack Hub.
Este documento contém o procedimento para a rotação dos seguintes segredos:
- Chaves de criptografia usadas no Serviço de Aplicativo do Azure no Azure Stack Hub.
- Credenciais de conexão de banco de dados usadas pelo Serviço de Aplicativo do Azure no Azure Stack Hub para interagir com os bancos de dados de hospedagem e medição.
- Certificados usados pelo Serviço de Aplicativo do Azure no Azure Stack Hub para proteger pontos de extremidade e rotação de certificados de aplicativo de identidade no Microsoft Entra ID ou nos Serviços de Federação do Ative Directory (AD FS).
- Credenciais do sistema para o Serviço de Aplicativo do Azure em funções de infraestrutura do Azure Stack Hub.
Girar chaves de criptografia
Para girar as chaves de criptografia usadas no Serviço de Aplicativo do Azure no Azure Stack Hub, execute as seguintes etapas:
Vá para a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.
Vá para a opção de menu Segredos .
Selecione o botão Girar na seção Chaves de criptografia.
Selecione OK para iniciar o procedimento de rotação.
As chaves de criptografia são giradas e todas as instâncias de função são atualizadas. Os operadores podem verificar o status do procedimento usando o botão Status .
Girar cadeias de conexão
Para atualizar as credenciais da cadeia de conexão de banco de dados para os bancos de dados de hospedagem e medição do Serviço de Aplicativo, execute as seguintes etapas:
Vá para a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.
Vá para a opção de menu Segredos .
Selecione o botão Girar na seção Cadeias de conexão.
Forneça o nome de usuário e a senha da SA SQL e selecione OK para iniciar o procedimento de rotação.
As credenciais são alternadas em todas as instâncias de função do Serviço de Aplicativo do Azure. Os operadores podem verificar o status do procedimento usando o botão Status .
Rodar certificados
Para alternar os certificados usados no Serviço de Aplicativo do Azure no Azure Stack Hub, execute as seguintes etapas:
Vá para a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.
Vá para a opção de menu Segredos .
Selecione o botão Girar na seção Certificados
Forneça o arquivo de certificado e a senha associada para os certificados que deseja girar e selecione OK.
Os certificados são alternados conforme necessário em todo o Serviço de Aplicativo do Azure em instâncias de função do Azure Stack Hub. Os operadores podem verificar o status do procedimento usando o botão Status .
Quando o certificado do aplicativo de identidade é alternado, o aplicativo correspondente no Microsoft Entra ID ou AD FS também deve ser atualizado com o novo certificado.
Importante
A falha na atualização do aplicativo de identidade com o novo certificado após a rotação interromperá a experiência do portal do usuário para o Azure Functions, impedirá que os usuários possam usar as ferramentas de desenvolvedor KUDU e impedirá que os administradores gerenciem conjuntos de escala de camada de trabalho a partir da experiência de administração do Serviço de Aplicativo.
Girar credenciais para o aplicativo de identidade Microsoft Entra
O aplicativo de identidade é criado pelo operador antes da implantação do Serviço de Aplicativo do Azure no Azure Stack Hub. Se o ID do aplicativo for desconhecido, siga estas etapas para descobri-lo:
Vá para o portal do administrador do Azure Stack Hub.
Vá para Assinaturas e selecione Assinatura de provedor padrão.
Selecione Controle de Acesso (IAM) e selecione o aplicativo do Serviço de Aplicativo .
Anote o ID do APP, esse valor é o ID do aplicativo de identidade que deve ser atualizado no Microsoft Entra ID.
Para girar o certificado para o aplicativo no Microsoft Entra ID, execute estas etapas:
Vá para o portal do Azure e entre usando o Administrador Global usado para implantar o Azure Stack Hub.
Vá para Microsoft Entra ID e navegue até Registros de aplicativos.
Procure o ID do aplicativo e, em seguida, especifique a identidade ID do aplicativo.
Selecione o aplicativo e vá para Certificados & Segredos.
Selecione Carregar certificado e carregue o novo certificado para o aplicativo de identidade com um dos seguintes tipos de arquivo: .cer, .pem, .crt.
Confirme se a impressão digital corresponde à listada na experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.
Eliminar o certificado antigo.
Girar certificado para o aplicativo de identidade do AD FS
O aplicativo de identidade é criado pelo operador antes da implantação do Serviço de Aplicativo do Azure no Azure Stack Hub. Se a ID do objeto do aplicativo for desconhecida, siga estas etapas para descobri-la:
Vá para o portal do administrador do Azure Stack Hub.
Vá para Assinaturas e selecione Assinatura de provedor padrão.
Selecione Controle de Acesso (IAM) e selecione o aplicativo AzureStack-AppService-guid><.
Anote a ID do Objeto, esse valor é a ID da Entidade de Serviço que deve ser atualizada no AD FS.
Para girar o certificado para o aplicativo no AD FS, você precisa ter acesso ao ponto de extremidade privilegiado (PEP). Em seguida, atualize a credencial de certificado usando o PowerShell, substituindo seus próprios valores para os seguintes espaços reservados:
| Marcador de Posição | Descrição | Exemplo |
|---|---|---|
<PepVM> |
O nome da VM de ponto de extremidade privilegiada em sua instância do Azure Stack Hub. | "AzS-ERCS01" |
<CertificateFileLocation> |
A localização do seu certificado X509 no disco. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
O identificador atribuído ao aplicativo de identidade. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Abra uma sessão elevada do Windows PowerShell e execute o seguinte script:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectDepois que o script for concluído, ele exibirá as informações de registro do aplicativo atualizadas, incluindo o valor de impressão digital do certificado.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Girar credenciais do sistema
Para alternar as credenciais do sistema usadas no Serviço de Aplicativo do Azure no Azure Stack Hub, execute as seguintes etapas:
Vá para a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.
Vá para a opção de menu Segredos .
Selecione o botão Girar na seção Credenciais do sistema.
Selecione o Escopo da Credencial do Sistema que você está girando. Os operadores podem optar por alternar as credenciais do sistema para todas as funções ou funções individuais.
Especifique um novo Nome de Usuário de Administrador Local e uma nova Senha. Em seguida, confirme a senha e selecione OK.
A(s) credencial(ões) são(ão) alternadas, conforme necessário, em toda a instância de função correspondente do Serviço de Aplicativo do Azure no Azure Stack Hub. Os operadores podem verificar o status do procedimento usando o botão Status .
Próximos passos
Visão geral do Serviço de Aplicativo do Azure no Azure Stack