Rotera hemligheter och certifikat i App Service på Azure Stack Hub

De här anvisningarna gäller endast för Azure App Service på Azure Stack Hub. Rotation av Azure App Service på Azure Stack Hub-hemligheter ingår inte i den centraliserade rotationsproceduren för hemligheter i Azure Stack Hub. Operatörer kan övervaka giltigheten för hemligheter i systemet, det datum då de senast uppdaterades och den tid som återstår tills hemligheterna upphör att gälla.

Viktigt

Operatörer får inte aviseringar om hemlig utgång på Azure Stack Hub-instrumentpanelen eftersom Azure App Service på Azure Stack Hub inte är integrerad med Azure Stack Hub-aviseringstjänsten. Operatörer måste regelbundet övervaka sina hemligheter med hjälp av Azure App Service på Azure Stack Hub-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

Det här dokumentet innehåller proceduren för att rotera följande hemligheter:

• Krypteringsnycklar som används i Azure App Service på Azure Stack Hub.
• Autentiseringsuppgifter för databasanslutning som används av Azure App Service på Azure Stack Hub för att interagera med värd- och avläsningsdatabaserna.
• Certifikat som används av Azure App Service på Azure Stack Hub för att skydda slutpunkter och rotation av identitetsprogramcertifikat i Microsoft Entra-ID eller Active Directory Federation Services (AD FS) (AD FS).
• Systemautentiseringsuppgifter för Azure App Service på Azure Stack Hub-infrastrukturroller.

Rotera krypteringsnycklar

Utför följande steg för att rotera de krypteringsnycklar som används i Azure App Service på Azure Stack Hub:

1. Gå till administratörsportalen för App Service i Azure Stack Hub.

2. Gå till menyalternativet Hemligheter .

3. Välj knappen Rotera i avsnittet Krypteringsnycklar.

4. Välj OK för att starta rotationsproceduren.

5. Krypteringsnycklarna roteras och alla rollinstanser uppdateras. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

Rotera anslutningssträngar

Utför följande steg för att uppdatera autentiseringsuppgifterna för databasen anslutningssträng för App Service värd- och avläsningsdatabaser:

1. Gå till administratörsportalen för App Service i Azure Stack Hub.

2. Gå till menyalternativet Hemligheter .

3. Välj knappen Rotera i avsnittet Anslutningssträngar.

4. Ange ANVÄNDARNAMN och lösenord för SQL SA och välj OK för att starta rotationsproceduren.

5. Autentiseringsuppgifterna roteras i de Azure App Service rollinstanserna. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

Rotera certifikat

Utför följande steg för att rotera de certifikat som används i Azure App Service på Azure Stack Hub:

1. Gå till administratörsportalen för App Service i Azure Stack Hub.

2. Gå till menyalternativet Hemligheter .

3. Välj knappen Rotera i avsnittet Certifikat

4. Ange certifikatfilen och det associerade lösenordet för de certifikat som du vill rotera och välj OK.

5. Certifikaten roteras efter behov under hela Azure App Service på Azure Stack Hub-rollinstanser. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

När certifikatet för identitetsprogrammet roteras måste motsvarande app i Microsoft Entra-ID eller AD FS också uppdateras med det nya certifikatet.

Viktigt

Om du inte uppdaterar identitetsprogrammet med det nya certifikatet efter rotationen bryts användarportalens upplevelse för Azure Functions, förhindrar att användare kan använda KUDU-utvecklarverktygen och hindrar administratörer från att hantera skalningsuppsättningar på arbetsnivå från App Service administration.

Rotera autentiseringsuppgifter för Microsoft Entra-identitetsprogrammet

Identitetsprogrammet skapas av operatören innan Azure App Service distribueras på Azure Stack Hub. Om program-ID:t är okänt följer du dessa steg för att identifiera det:

1. Gå till administratörsportalen för Azure Stack Hub.

2. Gå till Prenumerationer och välj Standardleverantörsprenumeration.

3. Välj Access Control (IAM) och välj det App Service programmet.

4. Anteckna APP-ID:t. Det här värdet är program-ID:t för identitetsprogrammet som måste uppdateras i Microsoft Entra-ID.

Så här roterar du certifikatet för programmet i Microsoft Entra-ID:

1. Gå till Azure Portal och logga in med den globala Admin som används för att distribuera Azure Stack Hub.

2. Gå till Microsoft Entra-ID och bläddra till Appregistreringar.

3. Sök efter program-ID och ange sedan identiteten Program-ID.

4. Välj programmet och gå sedan till Certifikat & hemligheter.

5. Välj Överför certifikat och ladda upp det nya certifikatet för identitetsprogrammet med någon av följande filtyper: .cer, .pem, .crt.

6. Bekräfta att tumavtrycket matchar det som anges i App Service administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

7. Ta bort det gamla certifikatet.

Rotera certifikat för AD FS-identitetsprogram

Identitetsprogrammet skapas av operatören innan Azure App Service distribueras på Azure Stack Hub. Om programmets objekt-ID är okänt följer du dessa steg för att identifiera det:

1. Gå till administratörsportalen för Azure Stack Hub.

2. Gå till Prenumerationer och välj Standardleverantörsprenumeration.

3. Välj Access Control (IAM) och välj programmet AzureStack-AppService-guid<>.

4. Anteckna objekt-ID:t. Det här värdet är ID:t för tjänstens huvudnamn som måste uppdateras i AD FS.

Om du vill rotera certifikatet för programmet i AD FS måste du ha åtkomst till den privilegierade slutpunkten (PEP). Sedan uppdaterar du certifikatautentiseringsuppgifterna med Hjälp av PowerShell och ersätter dina egna värden för följande platshållare:

Platshållare	Beskrivning	Exempel
<PepVM>	Namnet på den virtuella datorn med privilegierad slutpunkt på din Azure Stack Hub-instans.	"AzS-ERCS01"
<CertificateFileLocation>	Platsen för X509-certifikatet på disken.	"d:\certs\sso.cer"
<ApplicationObjectId>	Identifieraren som tilldelats identitetsprogrammet.	"S-1-5-21-401916501-2345862468-1451220656-1451"

1. Öppna en upphöjd Windows PowerShell session och kör följande skript:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
   $Creds = Get-Credential
   
   # Create a new Certificate object from the identity application certificate exported as .cer file
   $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
   
   # Create a new PSSession to the PrivelegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   
   

2. När skriptet har slutförts visas den uppdaterade appregistreringsinformationen, inklusive tumavtrycksvärdet för certifikatet.

   ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
   ClientId              : 
   Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
   ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
   ClientSecret          : 
   PSComputerName        : AzS-ERCS01
   RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
   

Rotera systemautentiseringsuppgifter

Utför följande steg för att rotera de systemautentiseringsuppgifter som används i Azure App Service på Azure Stack Hub:

1. Gå till administratörsportalen för App Service i Azure Stack Hub.

2. Gå till menyalternativet Hemligheter .

3. Välj knappen Rotera i avsnittet Systemautentiseringsuppgifter.

4. Välj omfånget för den systemautentiseringsuppgift som du roterar. Operatörer kan välja att rotera systemets autentiseringsuppgifter för alla roller eller enskilda roller.

5. Ange ett nytt lokalt Admin användarnamn och ett nytt lösenord. Bekräfta sedan lösenordet och välj OK.

6. Autentiseringsuppgifterna roteras efter behov i motsvarande Azure App Service på Azure Stack Hub-rollinstansen. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .