Rotacja wpisów tajnych i certyfikatów usługi App Service na platformie Azure Stack Hub
Te instrukcje dotyczą tylko Azure App Service na platformie Azure Stack Hub. Rotacja tajemnic usługi Azure App Service na platformie Azure Stack Hub nie jest uwzględniana w scentralizowanej procedurze rotacji tajemnic dla Azure Stack Hub. Operatorzy mogą monitorować ważność wpisów tajnych w systemie, datę ich ostatniej aktualizacji oraz czas pozostały do wygaśnięcia wpisów tajnych.
Ważne
Operatorzy nie będą otrzymywać alertów dotyczących wygaśnięcia tajnych wpisów na pulpicie Azure Stack Hub, ponieważ Azure App Service na Azure Stack Hub nie jest zintegrowany z usługą alertów tego systemu. Operatorzy muszą regularnie monitorować swoje tajne dane przy użyciu usługi aplikacji Azure App Service w portalu administratora platformy Azure Stack Hub.
Ten dokument zawiera procedurę wymiany następujących tajemnic:
- Klucze szyfrowania używane w usłudze aplikacji Azure na platformie Azure Stack Hub.
- Poświadczenia połączenia bazy danych używane przez usługę aplikacja systemu Azure w usłudze Azure Stack Hub do interakcji z bazami danych hostingu i pomiarów.
- Certyfikaty używane przez usługę Aplikacja Azure w Azure Stack Hub do zabezpieczania punktów końcowych i rotacji certyfikatów aplikacji tożsamości w usłudze Microsoft Entra ID lub Active Directory Federation Services (AD FS).
- Poświadczenia systemowe dla usługi aplikacji Azure w rolach infrastrukturalnych platformy Azure Stack Hub.
Obracanie kluczy szyfrowania
Aby zmienić klucze szyfrowania używane w usłudze Azure App Service na Azure Stack Hub, wykonaj następujące czynności:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do opcji menu Sekrety.
Wybierz przycisk Obróć w sekcji Klucze szyfrowania.
Wybierz przycisk OK , aby rozpocząć procedurę rotacji.
Klucze szyfrowania są obracane, a wszystkie wystąpienia ról są aktualizowane. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Obracanie parametry połączenia
Aby zaktualizować poświadczenia dla ciągu połączenia do baz danych hostingu i pomiarów usługi App Service, wykonaj następujące kroki:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do menu Sekrety.
Wybierz przycisk Obróć w sekcji Parametry połączenia.
Podaj nazwę użytkownika i hasło programu SQL SA, a następnie wybierz przycisk OK, aby rozpocząć procedurę rotacji.
Poświadczenia są zmieniane w obrębie wystąpień roli usługi App Service systemu Azure. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Rotacja certyfikatów
Aby zaktualizować certyfikaty używane w Azure App Service na platformie Azure Stack Hub, wykonaj następujące kroki:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do opcji menu Sekrety.
Wybierz przycisk Obróć w sekcji Certyfikaty
Podaj plik certyfikatu i skojarzone hasło dla certyfikatów, które chcesz obrócić, i wybierz przycisk OK.
Certyfikaty są odnawiane zgodnie z wymaganiami w przypadku wystąpień ról usługi Azure App Service na platformie Azure Stack Hub. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .
Po rotacji certyfikatu aplikacji tożsamości odpowiednia aplikacja w usłudze Microsoft Entra ID lub AD FS musi również zostać zaktualizowana przy użyciu nowego certyfikatu.
Ważne
Nieaktualizowanie aplikacji tożsamości nowym certyfikatem po rotacji spowoduje problemy z działaniem portalu użytkownika dla Azure Functions, uniemożliwi użytkownikom korzystanie z narzędzi deweloperskich KUDU oraz uniemożliwi administratorom zarządzanie skalowaniem warstw procesów roboczych z poziomu środowiska administracyjnego usługi App Service.
Rotacja poświadczeń dla aplikacji tożsamości Microsoft Entra
Aplikacja tożsamości jest tworzona przez operatora przed wdrożeniem usługi Azure App Service na platformie Azure Stack Hub. Jeśli identyfikator aplikacji jest nieznany, wykonaj następujące kroki, aby go odnaleźć:
Przejdź do portalu administratora usługi Azure Stack Hub.
Przejdź do pozycji Subskrypcje i wybierz pozycję Domyślna subskrypcja dostawcy.
Wybierz pozycję Kontrola dostępu (IAM) i wybierz aplikację App Service.
Zanotuj ID aplikacji, ponieważ ta wartość to identyfikator aplikacji tożsamości, który musi zostać zaktualizowany w Microsoft Entra ID.
Aby obrócić certyfikat dla aplikacji w usłudze Microsoft Entra ID, wykonaj następujące kroki:
Przejdź do witryny Azure Portal i zaloguj się przy użyciu administratora użytego do wdrożenia usługi Azure Stack Hub.
Przejdź do Microsoft Entra ID i przejdź do Rejestracje aplikacji.
Wyszukaj identyfikator aplikacji, a następnie określ identyfikator aplikacji tożsamości.
Wybierz aplikację, a następnie przejdź do Certyfikaty i Tajne.
Wybierz pozycję Przekaż certyfikat i przekaż nowy certyfikat dla aplikacji tożsamości z jednym z następujących typów plików: .cer, pem, crt.
Upewnij się, że odcisk palca jest zgodny z elementami wymienionymi w środowisku administrowania usługą App Service w portalu administratora usługi Azure Stack Hub.
Usuń stary certyfikat.
Rotacja certyfikatu dla aplikacji tożsamości w usługach AD FS
Aplikacja tożsamości jest tworzona przez operatora przed wdrożeniem usługi Azure App Service na platformie Azure Stack Hub. Jeśli identyfikator obiektu aplikacji jest nieznany, wykonaj następujące kroki, aby go odnaleźć:
Przejdź do portalu administratora usługi Azure Stack Hub.
Przejdź do pozycji Subskrypcje i wybierz pozycję Domyślna subskrypcja dostawcy.
Wybierz opcję Kontrola dostępu (IAM) i wybierz aplikację AzureStack-AppService-guid<>.
Zanotuj identyfikator obiektu. Ta wartość jest identyfikatorem głównego serwisu, który musi zostać zaktualizowany w AD FS.
Aby zaktualizować certyfikat aplikacji w usługach AD FS, musisz mieć dostęp do uprzywilejowanego punktu końcowego (PEP). Następnie zaktualizujesz poświadczenia certyfikatu przy użyciu programu PowerShell, zastępując własne wartości dla następujących symboli zastępczych:
| Symbol zastępczy | opis | Przykład |
|---|---|---|
<PepVM> |
Nazwa uprzywilejowanej maszyny wirtualnej punktu końcowego w instancji Azure Stack Hub. | "AzS-ERCS01" |
<CertificateFileLocation> |
Lokalizacja certyfikatu X509 na dysku. | "d:\certs\sso.cer" |
<ApplicationObjectId> |
Identyfikator przypisany do aplikacji tożsamości. | "S-1-5-21-401916501-2345862468-1451220656-1451" |
Otwórz sesję programu Windows PowerShell z podwyższonym poziomem uprawnień i uruchom następujący skrypt:
# Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint $Creds = Get-Credential # Create a new Certificate object from the identity application certificate exported as .cer file $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>") # Create a new PSSession to the PrivelegedEndpoint VM $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert} $Session | Remove-PSSession # Output the updated service principal details $SpObjectPo zakończeniu działania skryptu wyświetla zaktualizowane informacje o rejestracji aplikacji, w tym wartość odcisku palca certyfikatu.
ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451 ClientId : Thumbprint : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B ApplicationName : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308 ClientSecret : PSComputerName : AzS-ERCS01 RunspaceId : cb471c79-a0d3-40ec-90ba-89087d104510
Obracanie poświadczeń systemowych
Aby zmienić poświadczenia systemowe używane w Azure App Service na platformie Azure Stack Hub, wykonaj następujące czynności:
Przejdź do środowiska administracyjnego usługi App Service w portalu administratora usługi Azure Stack Hub.
Przejdź do menu Sekrety.
Wybierz przycisk Rotate w Sekcji Poświadczeń Systemowych.
Ważne
Jeśli wybrany zakres to Wszystkie lub Serwer zarządzania, poświadczenia dla kontrolerów są również aktualizowane przy użyciu określonej nowej nazwy użytkownika i hasła.
Wybierz zakres rotacji poświadczeń systemowych. Operatorzy mogą wybrać rotację poświadczeń systemowych dla wszystkich ról lub dla poszczególnych ról.
Określ nową nazwę użytkownika administratora lokalnego i nowe hasło. Następnie potwierdź hasło i wybierz przycisk OK.
Poświadczenia są zmieniane zgodnie z wymaganiami w odpowiednim wystąpieniu roli usługi App Service na platformie Azure Stack Hub. Operatorzy mogą sprawdzić stan procedury przy użyciu przycisku Stan .