Aracılığıyla paylaş


Azure Stack Hub'da App Service gizli dizilerini ve sertifikalarını döndürme

Bu yönergeler yalnızca Azure Stack Hub'da Azure Uygulaması Hizmeti için geçerlidir. Azure Stack Hub gizli dizilerinde Azure Uygulaması Hizmeti döndürme, Azure Stack Hub için merkezi gizli dizi döndürme yordamına dahil değildir. İşleçler sistem içindeki gizli dizilerin geçerliliğini, son güncelleştirildikleri tarihi ve gizli dizilerin süresi dolana kadar kalan süreyi izleyebilir.

Önemli

Azure Stack Hub'da Azure Uygulaması Hizmeti Azure Stack Hub uyarı hizmetiyle tümleştirilmediğinden operatörler Azure Stack Hub panosunda gizli dizi süre sonu uyarıları almaz. Operatörlerin, Azure Stack Hub yönetici portalındaki Azure Stack Hub'da Azure Uygulaması Hizmeti yönetim deneyimini kullanarak gizli dizilerini düzenli olarak izlemesi gerekir.

Bu belge aşağıdaki gizli dizileri döndürme yordamını içerir:

  • Azure Stack Hub'da Azure Uygulaması Hizmeti içinde kullanılan şifreleme anahtarları.
  • Barındırma ve ölçüm veritabanlarıyla etkileşime geçmek için Azure Stack Hub'da Azure Uygulaması Hizmeti tarafından kullanılan veritabanı bağlantısı kimlik bilgileri.
  • Azure Stack Hub'da Azure Uygulaması Hizmeti tarafından Microsoft Entra Id veya Active Directory Federasyon Hizmetleri (AD FS) (AD FS) içinde uç noktaların ve kimlik uygulama sertifikalarının döndürülme durumunun güvenliğini sağlamak için kullanılan sertifikalar.
  • Azure Stack Hub altyapı rollerinde Azure Uygulaması Hizmeti için sistem kimlik bilgileri.

Şifreleme anahtarlarını döndürme

Azure Stack Hub'da Azure Uygulaması Hizmeti'nin içinde kullanılan şifreleme anahtarlarını döndürmek için aşağıdaki adımları izleyin:

  1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

  2. Gizli Diziler menü seçeneğine gidin.

  3. Şifreleme Anahtarları bölümünde Döndür düğmesini seçin.

  4. Döndürme yordamını başlatmak için Tamam'ı seçin.

  5. Şifreleme anahtarları döndürülür ve tüm rol örnekleri güncelleştirilir. İşleçler Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

bağlantı dizesi döndürme

App Service barındırma ve ölçüm veritabanları için veritabanı bağlantı dizesi kimlik bilgilerini güncelleştirmek için aşağıdaki adımları izleyin:

  1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

  2. Gizli Diziler menü seçeneğine gidin.

  3. Bağlantı Dizeleri bölümünde Döndür düğmesini seçin.

  4. DÖNDÜRME yordamını başlatmak için SQL SA Kullanıcı Adı ve Parolası'nı sağlayın ve Tamam'ı seçin.

  5. Kimlik bilgileri Azure Uygulaması Hizmeti rol örnekleri boyunca döndürülür. İşleçler Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

Sertifikaları döndürme

Azure Stack Hub'da Azure Uygulaması Hizmeti içinde kullanılan sertifikaları döndürmek için aşağıdaki adımları izleyin:

  1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

  2. Gizli Diziler menü seçeneğine gidin.

  3. Sertifikalar bölümünde Döndür düğmesini seçin

  4. Döndürmek istediğiniz sertifikalar için sertifika dosyasını ve ilişkili parolayı sağlayın ve Tamam'ı seçin.

  5. Sertifikalar, Azure Stack Hub'da Azure Uygulaması Hizmeti rol örnekleri boyunca gerektiği gibi döndürülür. İşleçler Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

Kimlik uygulama sertifikası döndürüldüğünde, Microsoft Entra ID veya AD FS'deki ilgili uygulama da yeni sertifikayla güncelleştirilmelidir.

Önemli

Döndürme sonrasında kimlik uygulamasının yeni sertifikayla güncelleştirilememesi, Azure İşlevleri için kullanıcı portalı deneyimini bozar, kullanıcıların KUDU geliştirici araçlarını kullanmasını engeller ve yöneticilerin App Service yönetim deneyiminden çalışan katmanı ölçek kümelerini yönetmesini engeller.

Microsoft Entra kimlik uygulaması için kimlik bilgilerini döndürme

Kimlik uygulaması, Azure Stack Hub'da Azure Uygulaması Hizmeti dağıtılmadan önce operatör tarafından oluşturulur. Uygulama kimliği bilinmiyorsa, bulmak için şu adımları izleyin:

  1. Azure Stack Hub yönetici portalına gidin.

  2. Abonelikler'e gidin ve Varsayılan Sağlayıcı Aboneliği'ne tıklayın.

  3. Erişim Denetimi (IAM) seçeneğini belirleyin ve App Service uygulamasını seçin.

  4. APP Id değerini not alın, bu değer Microsoft Entra Id içinde güncelleştirilmiş olması gereken kimlik uygulamasının uygulama kimliğidir.

Uygulamanın sertifikasını Microsoft Entra Id'de döndürmek için şu adımları izleyin:

  1. Azure portalına gidin ve Azure Stack Hub'ı dağıtmak için kullanılan yöneticiyi kullanarak oturum açın.

  2. Microsoft Entra Kimliği'ne gidin ve Uygulama Kayıtları'na gidin.

  3. Uygulama Kimliği'ni arayın ve ardından Uygulama Kimliği kimliğini belirtin.

  4. Uygulamayı seçin ve ardından Sertifikalar ve Gizli Diziler'e gidin.

  5. Sertifikayı karşıya yükle'yi seçin ve kimlik uygulaması için yeni sertifikayı şu dosya türlerinden biriyle karşıya yükleyin: .cer, .pem, .crt.

  6. Azure Stack Hub yönetici portalındaki App Service yönetim deneyiminde listelenen parmak izi eşleşmelerini onaylayın.

  7. Eski sertifikayı silin.

AD FS kimlik uygulaması için sertifikayı döndürme

Kimlik uygulaması, Azure Stack Hub'da Azure Uygulaması Hizmeti dağıtılmadan önce operatör tarafından oluşturulur. Uygulamanın nesne kimliği bilinmiyorsa, bulmak için şu adımları izleyin:

  1. Azure Stack Hub yönetici portalına gidin.

  2. Abonelikler'e gidin ve Varsayılan Sağlayıcı Aboneliği'ne tıklayın.

  3. Erişim Denetimi (IAM) öğesini ve ardından AzureStack-AppService-guid<> uygulamasını seçin.

  4. Nesne Kimliğini not alın, bu değer AD FS'de güncelleştirilmiş olması gereken Hizmet Sorumlusunun kimliğidir.

AD FS'de uygulamanın sertifikasını döndürmek için ayrıcalıklı uç noktaya (PEP) erişiminiz olmalıdır. Ardından, aşağıdaki yer tutucular için kendi değerlerinizi değiştirerek PowerShell kullanarak sertifika kimlik bilgilerini güncelleştirirsiniz:

Yer tutucu Veri Akışı Açıklaması Örnek
<PepVM> Azure Stack Hub örneğinizdeki ayrıcalıklı uç nokta VM'sinin adı. "AzS-ERCS01"
<CertificateFileLocation> X509 sertifikanızın disk üzerindeki konumu. "d:\certs\sso.cer"
<ApplicationObjectId> Kimlik uygulamasına atanan tanımlayıcı. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Yükseltilmiş bir Windows PowerShell oturumu açın ve aşağıdaki betiği çalıştırın:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Betik tamamlandıktan sonra, sertifikanın parmak izi değeri de dahil olmak üzere güncelleştirilmiş uygulama kayıt bilgilerini görüntüler.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Sistem kimlik bilgilerini döndürme

Azure Stack Hub'da Azure Uygulaması Hizmeti içinde kullanılan sistem kimlik bilgilerini döndürmek için aşağıdaki adımları izleyin:

  1. Azure Stack Hub yönetici portalında App Service yönetim deneyimine gidin.

  2. Gizli Diziler menü seçeneğine gidin.

  3. Sistem Kimlik Bilgileri bölümünde Döndür düğmesini seçin.

    Önemli

    Seçtiğiniz kapsam Tümü veya Yönetim Sunucusu ise, denetleyicilerin kimlik bilgileri de belirtilen yeni kullanıcı adı ve parolayla güncelleştirilir.

  4. Döndürmekte olduğunuz sistem kimlik bilgilerinin kapsamını seçin. Operatörler, tüm roller için veya tek tek roller için sistem kimlik bilgilerini döndürmeyi seçebilir.

  5. Yeni bir Yerel Yönetici Kullanıcı Adı ve yeni bir Parola belirtin. Ardından Parola'yı onaylayın ve Tamam'ı seçin.

  6. Kimlik bilgileri, Azure Stack Hub'da ilgili Azure Uygulaması Hizmeti rol örneğinde gerektiği gibi döndürülür. İşleçler Durum düğmesini kullanarak yordamın durumunu denetleyebilir.

Sonraki adımlar

Azure Stack'te Azure Uygulaması Hizmetine genel bakış