Vyměňte tajné klíče a certifikáty služby App Service na Azure Stack Hub
Tyto pokyny platí jenom pro službu Aplikace Azure Service ve službě Azure Stack Hub. Obměna tajných kódů služby Aplikace Azure Service ve službě Azure Stack Hub není součástí centralizovaného postupu obměny tajných kódů pro Azure Stack Hub. Operátoři můžou monitorovat platnost tajných kódů v systému, datum poslední aktualizace a zbývající čas do vypršení platnosti tajných kódů.
Důležité
Operátoři nebudou dostávat upozornění na vypršení platnosti tajných kódů na řídicím panelu služby Azure Stack Hub, protože služba Aplikace Azure Ve službě Azure Stack Hub není integrovaná se službou upozorňování služby Azure Stack Hub. Operátoři musí pravidelně monitorovat své tajné údaje pomocí služby Azure App Service v rámci prostředí pro správu na portálu administrátora služby Azure Stack Hub.
Tento dokument obsahuje postup obměně následujících tajných kódů:
- Šifrovací klíče používané ve službě Aplikace Azure Service ve službě Azure Stack Hub.
- Přihlašovací údaje pro připojení k databázi používané službou Aplikace Azure Service ve službě Azure Stack Hub k interakci s databázemi hostování a měření.
- Certifikáty používané službou Azure App Service ve službě Azure Stack Hub k zabezpečení koncových bodů a rotaci certifikátů identity aplikace v Microsoft Entra ID nebo Active Directory Federation Services (AD FS).
- Systémové přihlašovací údaje pro role infrastruktury služby Azure App Service na platformě Azure Stack Hub.
Obměna šifrovacích klíčů
Pokud chcete šifrovací klíče použité ve službě Aplikace Azure Ve službě Azure Stack Hub otočit, postupujte následovně:
Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.
Přejděte na položku nabídky Tajné.
V části Šifrovací klíče vyberte tlačítko Otočit.
Chcete-li spustit postup otáčení, vyberte OK .
Šifrovací klíče se obměňují a aktualizují se všechny instance rolí. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.
Otáčení připojovacích řetězců
Pokud chcete aktualizovat přihlašovací údaje připojovacího řetězce pro databáze hostování a měření služby App Service, proveďte následující kroky:
Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.
Přejděte do nabídky Tajemství.
V části Připojovací řetězce vyberte tlačítko Otočit.
Zadejte uživatelské jméno SQL SA a heslo a vyberte OK pro spuštění postupu rotace.
Přihlašovací údaje se obměňují v rámci instancí rolí služby Aplikace Azure. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.
Rotace certifikátů
Pokud chcete otočit certifikáty používané ve službě Aplikace Azure Service ve službě Azure Stack Hub, postupujte následovně:
Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.
Přejděte na možnost nabídky Tajné.
Výběr tlačítka Otočit v části Certifikáty
Zadejte soubor certifikátu a přidružené heslo pro certifikáty, které chcete otočit, a vyberte OK.
Certifikáty se obměňují podle potřeby v rámci služby Aplikace Azure Service v instancích rolí služby Azure Stack Hub. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.
Při obměně certifikátu aplikace identity musí být odpovídající aplikace v Microsoft Entra ID nebo AD FS také aktualizována novým certifikátem.
Důležité
Pokud se po rotaci nepodaří aktualizovat aplikaci identit novým certifikátem, způsobí to narušení uživatelské zkušenosti v portálu Azure Functions, znemožní používání vývojářských nástrojů KUDU a zabrání správcům ve správě škálovacích sad úrovně pracovních procesů v prostředí pro správu služby App Service.
Obměňte přihlašovací údaje pro identifikační aplikaci Microsoft Entra
Aplikaci identity vytvoří operátor před nasazením Azure App Service ve službě Azure Stack Hub. Pokud je ID aplikace neznámé, zjistěte ho následujícím postupem:
Přejděte na portál pro správu služby Azure Stack Hub.
Přejděte na Předplatná a vyberte Výchozí předplatné poskytovatele.
Vyberte Řízení přístupu (IAM) a vyberte aplikaci App Service .
Poznamenejte si APP ID, tato hodnota je ID identitní aplikace, která musí být aktualizována v Microsoft Entra ID.
Chcete-li otočit certifikát pro aplikaci v MICROSOFT Entra ID, postupujte takto:
Přejděte na web Azure Portal a přihlaste se pomocí správce použitého k nasazení služby Azure Stack Hub.
Přejděte na ID Microsoft Entra a přejděte na Registrace aplikací.
Vyhledejte ID aplikace a pak zadejte ID aplikace.
Vyberte aplikaci a pak přejděte na Certifikáty a tajné kódy.
Vyberte Nahrát certifikát a nahrajte nový certifikát pro aplikaci identity s jedním z následujících typů souborů: .cer, .pem, .crt.
Ověřte, zda kryptografický otisk odpovídá tomu, co je uvedeno v uživatelském prostředí pro správu služby App Service na portálu pro správu Azure Stack Hub.
Odstraňte starý certifikát.
Výměna certifikátu pro identitní aplikaci služby AD FS
Aplikaci identit vytvoří operátor před nasazením služby Azure App Service na Azure Stack Hub. Pokud je ID objektu aplikace neznámé, zjistěte ho následujícím postupem:
Přejděte na portál pro správu služby Azure Stack Hub.
Přejděte na Předplatná a vyberte Výchozí předplatné poskytovatele.
Vyberte Řízení přístupu (IAM) a vyberte aplikaci AzureStack-AppService-guid<>.
Poznamenejte si ID objektu, tato hodnota je ID služebního objektu, který se musí aktualizovat v systému AD FS.
Pokud chcete certifikát pro aplikaci ve službě AD FS otočit, musíte mít přístup k privilegovanému koncovému bodu (PEP). Potom pomocí PowerShellu aktualizujete přihlašovací údaje certifikátu a nahradíte vlastní hodnoty pro následující zástupné symboly:
| Zástupný symbol | Popis | Příklad |
|---|---|---|
<PepVM> |
Název virtuálního počítače s privilegovaným koncovým bodem ve vaší instanci služby Azure Stack Hub. | AzS-ERCS01 |
<CertificateFileLocation> |
Umístění certifikátu X509 na disku. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Identifikátor přiřazený aplikaci identity. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Otevřete relaci Windows PowerShellu se zvýšenými oprávněními a spusťte následující skript:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectPo dokončení skriptu se zobrazí aktualizované informace o registraci aplikace, včetně hodnoty kryptografického otisku certifikátu.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Obměna systémových přihlašovacích údajů
Pokud chcete otočit přihlašovací údaje systému používané ve službě Aplikace Azure Service ve službě Azure Stack Hub, proveďte následující kroky:
Na portálu pro správu služby Azure Stack Hub přejděte do prostředí pro správu služby App Service.
Přejděte na položku nabídky Tajné.
Vyberte tlačítko Otočit v části Systémové přihlašovací údaje.
Důležité
Pokud vybraný obor je Vše nebo Server pro správu, přihlašovací údaje pro kontrolery se aktualizují také zadaným novým uživatelským jménem a heslem.
Vyberte obor přihlašovacích údajů systému, které rotujete. Operátoři se můžou rozhodnout otočit přihlašovací údaje systému pro všechny role nebo pro jednotlivé role.
Zadejte nové uživatelské jméno místního správce a nové heslo. Pak potvrďte heslo a vyberte OK.
Přihlašovací údaje se obměňují podle potřeby v rámci odpovídající role služby Aplikace Azure na instanci role Azure Stack Hub. Operátory můžou pomocí tlačítka Stav zkontrolovat stav procedury.