Azure Stack Hub'da App Service gizli dizilerini ve sertifikalarını döndürme

Bu yönergeler yalnızca Azure Stack Hub'da Azure App Service için geçerlidir. Azure Stack Hub gizli dizilerindeki Azure App Service döndürmesi, Azure Stack Hub için merkezi gizli dizi döndürme yordamına dahil değildir. İşleçler sistemdeki gizli dizilerin geçerliliğini, en son güncelleştirildikleri tarihi ve gizli dizilerin süresi dolana kadar kalan süreyi izleyebilir.

Önemli

Azure Stack Hub'da Azure App Service Azure Stack Hub uyarı hizmetiyle tümleştirilmediğinden operatörler Azure Stack Hub panosunda gizli dizi süre sonu uyarılarını almaz. Operatörlerin, Azure Stack Hub yönetici portalındaki Azure Stack Hub yönetim deneyiminde Azure App Service kullanarak gizli dizilerini düzenli olarak izlemesi gerekir.

Bu belge, aşağıdaki gizli dizileri döndürme yordamını içerir:

• Azure Stack Hub'da Azure App Service içinde kullanılan şifreleme anahtarları.
• Barındırma ve ölçüm veritabanlarıyla etkileşime geçmek için Azure Stack Hub'da Azure App Service tarafından kullanılan veritabanı bağlantısı kimlik bilgileri.
• Azure Stack Hub'da Azure App Service tarafından Microsoft Entra Kimliği veya Active Directory Federasyon Hizmetleri (AD FS) (AD FS) içindeki kimlik uygulaması sertifikalarının uç noktalarını ve döndürmesini güvenli bir şekilde sağlamak için kullanılan sertifikalar.
• Azure Stack Hub altyapı rollerinde Azure App Service için sistem kimlik bilgileri.

Şifreleme anahtarlarını döndürme

Azure Stack Hub'da Azure App Service içinde kullanılan şifreleme anahtarlarını döndürmek için aşağıdaki adımları izleyin:

1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

2. Gizli Diziler menü seçeneğine gidin.

3. Şifreleme Anahtarları bölümünde Döndür düğmesini seçin.

4. Döndürme yordamını başlatmak için Tamam'ı seçin.

5. Şifreleme anahtarları döndürülür ve tüm rol örnekleri güncelleştirilir. İşleçler , Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

Bağlantı dizelerini döndürme

App Service barındırma ve ölçüm veritabanları için veritabanı bağlantı dizesi kimlik bilgilerini güncelleştirmek için aşağıdaki adımları izleyin:

1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

2. Gizli Diziler menü seçeneğine gidin.

3. Bağlantı Dizeleri bölümünde Döndür düğmesini seçin.

4. SQL SA Kullanıcı Adı ve Parolası'nı sağlayın ve döndürme yordamını başlatmak için Tamam'ı seçin.

5. Kimlik bilgileri Azure App Service rol örnekleri boyunca döndürülür. İşleçler , Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

Sertifikaları döndürme

Azure Stack Hub'da Azure App Service içinde kullanılan sertifikaları döndürmek için aşağıdaki adımları izleyin:

1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

2. Gizli Diziler menü seçeneğine gidin.

3. Sertifikalar bölümünde Döndür düğmesini seçin

4. Döndürmek istediğiniz sertifikalar için sertifika dosyasını ve ilişkili parolayı belirtin ve Tamam'ı seçin.

5. Sertifikalar, Azure Stack Hub rol örneklerindeki Azure App Service boyunca gerektiği gibi döndürülür. İşleçler , Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

Kimlik uygulama sertifikası döndürüldüğünde, Microsoft Entra Kimliği veya AD FS'deki ilgili uygulama da yeni sertifikayla güncelleştirilmelidir.

Önemli

Döndürme sonrasında kimlik uygulamasının yeni sertifikayla güncelleştirilememesi, Azure İşlevleri için kullanıcı portalı deneyimini bozar, kullanıcıların KUDU geliştirici araçlarını kullanmasını engeller ve yöneticilerin App Service yönetim deneyiminden çalışan katmanı ölçek kümelerini yönetmesini engeller.

Microsoft Entra kimlik uygulaması için kimlik bilgilerini döndürme

Kimlik uygulaması, Azure Stack Hub'da Azure App Service dağıtılmadan önce operatör tarafından oluşturulur. Uygulama kimliği bilinmiyorsa, bulmak için şu adımları izleyin:

1. Azure Stack Hub yönetici portalına gidin.

2. Abonelikler'e gidin ve Varsayılan Sağlayıcı Aboneliği'ne tıklayın.

3. Access Control (IAM) öğesini ve ardından App Service uygulamasını seçin.

4. APP ID değerini not alın. Bu değer, Microsoft Entra kimliğinde güncelleştirilmiş olması gereken kimlik uygulamasının uygulama kimliğidir.

Uygulamanın sertifikasını Microsoft Entra kimliğinde döndürmek için şu adımları izleyin:

1. Azure portal gidin ve Azure Stack Hub'ı dağıtmak için kullanılan Genel Yönetici kullanarak oturum açın.

2. Microsoft Entra Kimliği'ne gidin ve Uygulama Kayıtları'na gidin.

3. Uygulama Kimliği'ni arayın ve ardından Uygulama Kimliği kimliğini belirtin.

4. Uygulamayı seçin ve ardından Sertifikalar & Gizli Diziler'e gidin.

5. Sertifikayı karşıya yükle'yi seçin ve şu dosya türlerinden biriyle kimlik uygulaması için yeni sertifikayı karşıya yükleyin: .cer, .pem, .crt.

6. Azure Stack Hub yönetici portalındaki App Service yönetim deneyiminde listelenen parmak izi eşleşmelerini onaylayın.

7. Eski sertifikayı silin.

AD FS kimlik uygulaması için sertifikayı döndürme

Kimlik uygulaması, Azure Stack Hub'da Azure App Service dağıtılmadan önce operatör tarafından oluşturulur. Uygulamanın nesne kimliği bilinmiyorsa, bulmak için şu adımları izleyin:

1. Azure Stack Hub yönetici portalına gidin.

2. Abonelikler'e gidin ve Varsayılan Sağlayıcı Aboneliği'ne tıklayın.

3. Access Control (IAM) öğesini ve ardından AzureStack-AppService-guid<> uygulamasını seçin.

4. Nesne Kimliğini not alın; bu değer AD FS'de güncelleştirilmiş olması gereken Hizmet Sorumlusunun kimliğidir.

AD FS'de uygulamanın sertifikasını döndürmek için ayrıcalıklı uç noktaya (PEP) erişiminiz olmalıdır. Ardından, aşağıdaki yer tutucular için kendi değerlerinizi değiştirerek PowerShell kullanarak sertifika kimlik bilgilerini güncelleştirirsiniz:

Yer tutucu	Açıklama	Örnek
<PepVM>	Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı.	"AzS-ERCS01"
<CertificateFileLocation>	X509 sertifikanızın disk üzerindeki konumu.	"d:\certs\sso.cer"
<ApplicationObjectId>	Kimlik uygulamasına atanan tanımlayıcı.	"S-1-5-21-401916501-2345862468-1451220656-1451"

1. Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki betiği çalıştırın:

   # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
   $Creds = Get-Credential
   
   # Create a new Certificate object from the identity application certificate exported as .cer file
   $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
   
   # Create a new PSSession to the PrivelegedEndpoint VM
   $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
   $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
   $Session | Remove-PSSession
   
   # Output the updated service principal details
   $SpObject
   
   

2. Betik tamamlandıktan sonra, sertifikanın parmak izi değeri de dahil olmak üzere güncelleştirilmiş uygulama kayıt bilgilerini görüntüler.

   ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
   ClientId              : 
   Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
   ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
   ClientSecret          : 
   PSComputerName        : AzS-ERCS01
   RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
   

Sistem kimlik bilgilerini döndürme

Azure Stack Hub'da Azure App Service içinde kullanılan sistem kimlik bilgilerini döndürmek için aşağıdaki adımları izleyin:

1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

2. Gizli Diziler menü seçeneğine gidin.

3. Sistem Kimlik Bilgileri bölümünde Döndür düğmesini seçin.

4. Döndürmekte olduğunuz Sistem Kimlik Bilgilerinin Kapsamını seçin. operatörler, tüm roller veya tek tek roller için sistem kimlik bilgilerini döndürmeyi seçebilir.

5. Yeni bir Yerel Yönetici Kullanıcı Adı ve yeni bir Parola belirtin. Ardından Parola'yı onaylayın ve Tamam'ı seçin.

6. Kimlik bilgileri, Azure Stack Hub rol örneğindeki ilgili Azure App Service gerektiği şekilde döndürülür. İşleçler , Durum düğmesini kullanarak yordamın durumunu denetleyebilir.