Смена секретов и сертификатов Службы приложений в Azure Stack Hub
Эти инструкции применяются только к Службе приложений Azure в Azure Stack Hub. Смена секретов Службы приложений Azure в Azure Stack Hub не выполняется в рамках централизованной смены ключей для Azure Stack Hub. Операторы могут отслеживать допустимость секретов в системе, дату их обновления и время до истечения срока действия.
Внимание
Операторы не будут получать оповещения об истечении срока действия секрета через панель мониторинга Azure Stack Hub, так как Служба приложений Azure в Azure Stack Hub не интегрирована в службу оповещений Azure Stack Hub. Операторы должны регулярно отслеживать свои секреты в интерфейсе администрирования Службы приложений Azure в Azure Stack Hub на портале администраторов Azure Stack Hub.
Этот документ описывает процедуру смены следующих секретов:
- ключи шифрования для Службы приложений Azure в Azure Stack Hub;
- учетные данные подключения к базе данных, используемые Службой приложений Azure в Azure Stack Hub для взаимодействия с базами данных размещения и измерения;
- Сертификаты, используемые службой приложение Azure в Azure Stack Hub для защиты конечных точек и смены сертификатов приложений удостоверений в идентификаторе Microsoft Entra или службы федерации Active Directory (AD FS) (AD FS).
- учетные данные ролей инфраструктуры для Службы приложений Azure в Azure Stack Hub.
Смена ключей шифрования
Чтобы сменить ключи шифрования для Службы приложений Azure в Azure Stack Hub, выполните следующие действия:
Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.
Перейдите к пункту меню Секреты.
В разделе "Ключи шифрования" нажмите кнопку Сменить.
Щелкните ОК, чтобы выполнить смену.
Эта процедура меняет ключи шифрования и обновляет все экземпляры роли. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.
Смена строк подключения
Чтобы обновить учетные данные в строках подключения к базам данных размещения и измерения Службы приложений, выполните следующие действия:
Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.
Перейдите к пункту меню Секреты.
В разделе "Строки подключения" нажмите кнопку Сменить.
Укажите имя пользователя SA SQL и пароль, затем щелкните ОК, чтобы выполнить смену.
Эта процедура приведет к смене учетных данных для всех экземпляров роли Службы приложений Azure. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.
Ротация сертификатов
Чтобы сменить сертификаты для Службы приложений Azure в Azure Stack Hub, выполните следующие действия:
Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.
Перейдите к пункту меню Секреты.
В разделе "Сертификаты" нажмите кнопку Сменить.
Укажите файл сертификата и соответствующий пароль для всех сертификатов, которые вы хотите сменить, и щелкните ОК.
Эта процедура меняет запрошенные сертификаты для всех экземпляров роли Службы приложений Azure в Azure Stack Hub. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.
При смене сертификата приложения удостоверений необходимо также обновить соответствующее приложение в идентификаторе Microsoft Entra ID или AD FS с новым сертификатом.
Внимание
Если вы не обновите приложение удостоверений с использованием нового сертификата, после смены станут недоступны некоторые функции на пользовательском портале для Функций Azure: пользователи не смогут использовать средства разработчика Kudu, а администраторы — управлять наборами масштабирования рабочего уровня из интерфейса администрирования Службы приложений.
Смена учетных данных для приложения удостоверений Microsoft Entra
Приложение удостоверений создается оператором перед развертыванием Службы приложений Azure в Azure Stack Hub. Если идентификатор приложения неизвестен, выполните следующие действия, чтобы определить его:
Откройте портал администрирования Azure Stack Hub.
Выберите Подписки и Подписка поставщика по умолчанию.
Выберите Управление доступом (IAM) и выберите приложение Служба приложений.
Запишите идентификатор приложения, это значение является идентификатором приложения удостоверений, которое должно быть обновлено в идентификаторе Microsoft Entra.
Чтобы повернуть сертификат для приложения в идентификаторе Microsoft Entra, выполните следующие действия.
Перейдите к портал Azure и войдите с помощью администратора, используемого для развертывания Azure Stack Hub.
Перейдите к идентификатору Microsoft Entra и перейдите к регистрации приложений.
Выполните поиск по идентификатору приложения и укажите идентификатор приложения удостоверений.
Выберите приложение, а затем выберите Сертификаты и секреты.
Щелкните Отправить сертификат и отправьте новый сертификат для приложения удостоверений в одном из следующих форматов: CER, PEM, CRT.
Убедитесь, что отпечаток соответствует отпечатку в интерфейсе администрирования Службы приложений на портале администрирования Azure Stack Hub.
Удалите старый сертификат.
Смена сертификата для приложения удостоверений AD FS
Приложение удостоверений создается оператором перед развертыванием Службы приложений Azure в Azure Stack Hub. Если идентификатор объекта приложения неизвестен, выполните следующие действия, чтобы определить его:
Откройте портал администрирования Azure Stack Hub.
Выберите Подписки и Подписка поставщика по умолчанию.
Выберите контроль доступа (IAM) и выберите приложение AzureStack-AppService-guid><.
Запишите идентификатор объекта, представляющий собой идентификатор субъекта-службы, который необходимо обновить в AD FS.
Чтобы сменить сертификат для приложения в AD FS, необходим доступ к привилегированной конечной точке (PEP). Затем обновите учетные данные на основе сертификата с помощью PowerShell, заменив собственные значения такими заполнителями:
| Заполнитель | Описание: | Пример |
|---|---|---|
<PepVM> |
Имя виртуальной машины с привилегированной конечной точкой в экземпляре Azure Stack Hub. | AzS-ERCS01 |
<CertificateFileLocation> |
Расположение сертификата X509 на диске. | d:\certs\sso.cer |
<ApplicationObjectId> |
Идентификатор, присвоенный приложению удостоверений. | S-1-5-21-401916501-2345862468-1451220656-1451 |
Откройте сеанс Windows PowerShell с повышенными привилегиями и выполните следующий скрипт:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectПосле выполнения скрипта отобразятся сведения об обновленной регистрации приложения, включая значение отпечатка сертификата.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Смена системных учетных данных
Чтобы сменить системные учетные данные для Службы приложений Azure в Azure Stack Hub, выполните следующие действия:
Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.
Перейдите к пункту меню Секреты.
Нажмите кнопку "Повернуть" в разделе "Учетные данные системы".
Внимание
Если выбрана область "Все " или "Сервер управления", учетные данные для контроллеров также обновляются с указанным новым именем пользователя и паролем.
Выберите область поворачиваемых системных учетных данных. Операторы могут сменить системные учетные данные для всех ролей или для отдельных ролей.
Укажите новое Имя пользователя с правами локального администратора и новый Пароль. Затем подтвердите Пароль и нажмите кнопку ОК.
Учетные данные поворачиваются по мере необходимости в соответствующей службе приложение Azure в экземпляре роли Azure Stack Hub. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.