Geheimen en certificaten voor Rotate App Service op Azure Stack Hub
Deze instructies zijn alleen van toepassing op Azure-app Service in Azure Stack Hub. Rotatie van Azure-app Service in Azure Stack Hub-geheimen is niet opgenomen in de gecentraliseerde procedure voor het rouleren van geheimen voor Azure Stack Hub. Operators kunnen de geldigheid van geheimen in het systeem bewaken, de datum waarop ze voor het laatst zijn bijgewerkt en de resterende tijd totdat de geheimen verlopen.
Belangrijk
Operators ontvangen geen waarschuwingen voor het verlopen van geheimen op het Azure Stack Hub-dashboard, omdat Azure-app Service in Azure Stack Hub niet is geïntegreerd met de Azure Stack Hub-waarschuwingsservice. Operators moeten hun geheimen regelmatig bewaken met behulp van de Azure-app Service in azure Stack Hub-beheer in de Azure Stack Hub-beheerdersportal.
Dit document bevat de procedure voor het roteren van de volgende geheimen:
- Versleutelingssleutels die worden gebruikt in Azure-app Service in Azure Stack Hub.
- Databaseverbindingsreferenties die worden gebruikt door Azure-app Service in Azure Stack Hub om te communiceren met de hosting- en meterdatabases.
- Certificaten die worden gebruikt door Azure-app Service in Azure Stack Hub om eindpunten en roulatie van identiteitstoepassingscertificaten in Microsoft Entra ID of Active Directory Federation Services (AD FS) te beveiligen.
- Systeemreferenties voor Azure-app Service in Azure Stack Hub-infrastructuurrollen.
Versleutelingssleutels draaien
Voer de volgende stappen uit om de versleutelingssleutels te roteren die worden gebruikt in Azure-app Service in Azure Stack Hub:
Ga naar de App Service-beheerervaring in de Azure Stack Hub-beheerportal.
Ga naar de menuoptie Geheimen .
Selecteer de knop Draaien in de sectie Versleutelingssleutels.
Selecteer OK om de rotatieprocedure te starten.
De versleutelingssleutels worden gedraaid en alle rolinstanties worden bijgewerkt. Operators kunnen de status van de procedure controleren met behulp van de knop Status .
Verbindingsreeks s draaien
Voer de volgende stappen uit om de referenties voor de database-verbindingsreeks bij te werken voor de App Service-hosting- en meterdatabases:
Ga naar de App Service-beheerervaring in de Azure Stack Hub-beheerportal.
Ga naar de menuoptie Geheimen .
Selecteer de knop Draaien in de sectie Verbindingsreeksen.
Geef de gebruikersnaam en het wachtwoord voor SQL SA op en selecteer OK om de rotatieprocedure te starten.
De referenties worden gedraaid in de Azure-app Service-rolinstanties. Operators kunnen de status van de procedure controleren met behulp van de knop Status .
Certificaten roteren
Voer de volgende stappen uit om de certificaten die worden gebruikt in Azure-app Service in Azure Stack Hub te roteren:
Ga naar de App Service-beheerervaring in de Azure Stack Hub-beheerportal.
Ga naar de menuoptie Geheimen .
Selecteer de knop Draaien in de sectie Certificaten
Geef het certificaatbestand en het bijbehorende wachtwoord op voor de certificaten die u wilt draaien en selecteer OK.
De certificaten worden naar behoefte gedraaid in de Azure-app Service op Azure Stack Hub-rolinstanties. Operators kunnen de status van de procedure controleren met behulp van de knop Status .
Wanneer het certificaat van de identiteitstoepassing wordt gedraaid, moet de bijbehorende app in Microsoft Entra ID of AD FS ook worden bijgewerkt met het nieuwe certificaat.
Belangrijk
Als u de identiteitstoepassing niet bijwerkt met het nieuwe certificaat na rotatie, wordt de gebruikersportal-ervaring voor Azure Functions verbroken, wordt voorkomen dat gebruikers de KUDU-ontwikkelhulpprogramma's kunnen gebruiken en kunnen beheerders geen schaalsets voor werkrollen beheren vanuit de App Service-beheerervaring.
Referenties roteren voor de Microsoft Entra-identiteitstoepassing
De identiteitstoepassing wordt door de operator gemaakt vóór de implementatie van Azure-app Service in Azure Stack Hub. Als de toepassings-id onbekend is, volgt u deze stappen om deze te detecteren:
Ga naar de Azure Stack Hub-beheerdersportal.
Ga naar Abonnementen en selecteer Standaardproviderabonnement.
Selecteer Toegangsbeheer (IAM) en selecteer de App Service-toepassing .
Noteer de APP-id. Deze waarde is de toepassings-id van de identiteitstoepassing die moet worden bijgewerkt in Microsoft Entra ID.
Voer de volgende stappen uit om het certificaat voor de toepassing in Microsoft Entra ID te roteren:
Ga naar Azure Portal en meld u aan met de beheerder die is gebruikt voor het implementeren van Azure Stack Hub.
Ga naar Microsoft Entra-id en blader naar App-registraties.
Zoek de toepassings-id en geef vervolgens de id van de identiteitstoepassing op.
Selecteer de toepassing en ga vervolgens naar Certificaten en geheimen.
Selecteer Certificaat uploaden en upload het nieuwe certificaat voor de identiteitstoepassing met een van de volgende bestandstypen: .cer, .pem, .crt.
Controleer of de vingerafdruk overeenkomt met de vingerafdruk die wordt vermeld in de App Service-beheerervaring in de Azure Stack Hub-beheerportal.
Verwijder het oude certificaat.
Certificaat roteren voor AD FS-identiteitstoepassing
De identiteitstoepassing wordt door de operator gemaakt vóór de implementatie van Azure-app Service in Azure Stack Hub. Als de object-id van de toepassing onbekend is, volgt u deze stappen om deze te detecteren:
Ga naar de Azure Stack Hub-beheerdersportal.
Ga naar Abonnementen en selecteer Standaardproviderabonnement.
Selecteer Toegangsbeheer (IAM) en selecteer de Toepassing AzureStack-AppService-guid><.
Noteer de object-id. Deze waarde is de id van de service-principal die moet worden bijgewerkt in AD FS.
Als u het certificaat voor de toepassing in AD FS wilt roteren, moet u toegang hebben tot het bevoegde eindpunt (PEP). Vervolgens werkt u de certificaatreferentie bij met behulp van PowerShell, waarbij u uw eigen waarden vervangt door de volgende tijdelijke aanduidingen:
| Plaatsaanduiding | Omschrijving | Voorbeeld |
|---|---|---|
<PepVM> |
De naam van de bevoegde eindpunt-VM in uw Azure Stack Hub-exemplaar. | "AzS-ERCS01" |
<CertificateFileLocation> |
De locatie van uw X509-certificaat op schijf. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
De id die is toegewezen aan de identiteitstoepassing. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Open een Windows PowerShell-sessie met verhoogde bevoegdheid en voer het volgende script uit:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectNadat het script is voltooid, worden de bijgewerkte app-registratiegegevens weergegeven, inclusief de vingerafdrukwaarde voor het certificaat.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Systeemreferenties draaien
Voer de volgende stappen uit om de systeemreferenties te roteren die worden gebruikt in Azure-app Service in Azure Stack Hub:
Ga naar de App Service-beheerervaring in de Azure Stack Hub-beheerportal.
Ga naar de menuoptie Geheimen .
Selecteer de knop Draaien in de sectie Systeemreferenties .
Belangrijk
Als het bereik dat u selecteert Alle of Beheerserver is, wordt de referentie voor de controllers ook bijgewerkt met de opgegeven nieuwe gebruikersnaam en het opgegeven wachtwoord.
Selecteer het bereik van de systeemreferentie die u draait. Operators kunnen ervoor kiezen om de systeemreferenties voor alle rollen of voor afzonderlijke rollen te roteren.
Geef een nieuwe gebruikersnaam voor lokale beheerders en een nieuw wachtwoord op. Bevestig vervolgens het wachtwoord en selecteer OK.
De referenties worden naar behoefte geroteerd in de bijbehorende Azure-app Service op het azure Stack Hub-rolexemplaren. Operators kunnen de status van de procedure controleren met behulp van de knop Status .