共用方式為


輪替 Azure Stack Hub 上 App Service 的祕密和憑證

這些指示僅適用於 Azure Stack Hub 上的 Azure App 服務。 Azure Stack Hub 上的 Azure App Service 祕密輪換不會包含在 Azure Stack Hub 的集中式祕密輪換程序中。 操作員可以監視系統內祕密的有效性、上次更新祕密的日期,以及秘密到期前剩餘的時間。

重要

操作員不會在 Azure Stack Hub 儀表板上收到祕密到期的警示,因為 Azure Stack Hub 上的 Azure App Service 未與 Azure Stack Hub 警示服務整合。 在 Azure Stack Hub 系統管理員入口網站中,操作員必須使用 Azure Stack Hub 上的 Azure App Service 系統管理體驗,定期監視其祕密。

本檔包含輪替下列秘密的程式:

  • 在 Azure Stack Hub 上的 Azure App Service 內使用的加密金鑰。
  • Azure Stack Hub 上的 Azure App Service 用來與裝載和計量資料庫互動的資料庫連線認證。
  • Azure Stack Hub 上的 Azure App Service 用來執行下列動作的憑證:保護 Microsoft Entra ID 或 Active Directory 同盟服務 (AD FS) 中身分識別應用程式憑證的端點和輪換。
  • Azure Stack Hub 上的 Azure App Service 基礎結構角色的系統認證。

輪換加密金鑰

若要輪換 Azure Stack Hub 上的 Azure App Service 內使用的加密金鑰,請採取下列步驟:

  1. 移至 Azure Stack Hub 系統管理員入口網站中的 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [加密金鑰] 區段中的 [輪換] 按鈕。

  4. 選取 [確定] 以啟動輪換程序。

  5. 即會輪換加密金鑰,並更新所有角色執行個體。 操作員可以使用 [狀態] 按鈕來檢查程序的狀態。

輪換連接字串

若要針對 App Service 裝載和計量資料庫更新資料庫連接字串的認證,請採取下列步驟:

  1. 移至 Azure Stack Hub 系統管理員入口網站中的 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [連接字串] 區段中的 [輪換] 按鈕。

  4. 提供 [SQL SA 使用者名稱] 和 [密碼],然後選取 [確定] 以啟動輪換程序。

  5. 認證會在整個 Azure App Service 角色執行個體中輪換。 操作員可以使用 [狀態] 按鈕來檢查程序的狀態。

輪換憑證

若要輪換 Azure Stack Hub 上的 Azure App Service 內使用的憑證,請採取下列步驟:

  1. 移至 Azure Stack Hub 系統管理員入口網站中的 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [憑證] 區段中的 [ 輪替 ] 按鈕

  4. 為您想要輪換的憑證提供 [憑證檔案] 和相關聯的 [密碼],然後選取 [確定]

  5. 憑證會視需要在 Azure Stack Hub 上的 Azure App Service 整個角色執行個體中進行輪換。 操作員可以使用 [狀態] 按鈕來檢查程序的狀態。

輪換身分識別應用程式憑證時,Microsoft Entra ID 或 AD FS 中的對應應用程式也必須以新的憑證更新。

重要

輪換後無法使用新憑證更新身分識別應用程式,將會中斷 Azure Functions 的使用者入口網站體驗、阻止使用者無法使用 KUDU 開發人員工具,以及阻止系統管理員從 App Service 系統管理體驗管理背景工作層擴展集。

輪替Microsoft Entra身分識別應用程式的認證

在部署 Azure Stack Hub 上的 Azure App Service 之前,操作員會先建立身分識別應用程式。 如果應用程式識別碼不明,請遵循下列步驟來探索該識別碼:

  1. 移至 [ Azure Stack Hub 系統管理員入口網站]

  2. 移至 [訂用帳戶],然後選取 [預設提供者訂用帳戶]

  3. 選取 [存取控制 (IAM)],然後選取 [App Service] 應用程式。

  4. 記下 [應用程式識別碼],此值是身分識別應用程式的應用程式識別碼,而此應用程式必須在 Microsoft Entra ID 中進行更新。

若要輪換 Microsoft Entra ID 中應用程式的憑證,請遵循下列步驟:

  1. 移至 Azure 入口網站,並使用用來部署 Azure Stack Hub 的系統管理員登入。

  2. 移至 [Microsoft Entra ID],並瀏覽至 [應用程式註冊]

  3. 搜尋 [應用程式識別碼],然後指定身分識別應用程式識別碼。

  4. 選取應用程式,然後移至 [憑證與秘密]。

  5. 選取 [上傳憑證],然後為具有下列其中一種檔案類型的身分識別應用程式上傳新憑證:.cer、.pem、.crt。

  6. 確認指紋符合 Azure Stack Hub 系統管理員入口網站中 App Service 系統管理體驗中所列的指紋。

  7. 刪除舊的憑證。

輪替AD FS身分識別應用程式的憑證

在部署 Azure Stack Hub 上的 Azure App Service 之前,操作員會先建立身分識別應用程式。 如果應用程式的物件識別碼不明,請遵循下列步驟來探索該識別碼:

  1. 移至 [ Azure Stack Hub 系統管理員入口網站]

  2. 移至 [訂用帳戶],然後選取 [預設提供者訂用帳戶]

  3. 選取 [存取控制 [IAM],然後選取 [AzureStack-AppService-guid<>] 應用程式。

  4. 記下 [物件識別碼],此值是必須在 AD FS 中更新的服務主體識別碼。

若要輪換 AD FS 中應用程式的憑證,您必須具有特殊權限端點 (PEP) 的存取權。 然後,您會使用 PowerShell 更新憑證認證,並以您自己的值取代下列預留位置:

預留位置 描述: 範例
<PepVM> Azure Stack Hub 實例上具特殊許可權端點 VM 的名稱。 “AzS-ERCS01”
<CertificateFileLocation> 磁碟上 X509 憑證的位置。 “d:\certs\sso.cer”
<ApplicationObjectId> 指派給身分識別應用程式的識別碼。 “S-1-5-21-401916501-2345862468-1451220656-1451”
  1. 開啟提升權限的 Windows PowerShell 工作階段,並執行下列指令碼:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. 指令碼完成之後,其會顯示更新的應用程式註冊資訊,包括憑證的指紋值。

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

輪換系統認證

若要輪換 Azure Stack Hub 上的 Azure App Service 內使用的系統認證,請採取下列步驟:

  1. 移至 Azure Stack Hub 系統管理員入口網站中的 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [系統認證] 區段中的 [旋轉] 按鈕。

    重要

    如果您選取的範圍是 [全部 ] 或 [管理伺服器],控制器的認證也會以指定的新使用者名稱和密碼更新。

  4. 選取您要輪替的系統認證範圍。 操作員可以選擇輪替所有角色的系統認證,或針對個別角色輪替系統認證。

  5. 指定 [新的本機管理使用者名稱] 和新的 [密碼]。 然後,確認 [密碼] 並選取 [確定]

  6. 認證會視需要輪替在 Azure Stack Hub 角色實例上對應的 Azure App 服務。 操作員可以使用 [狀態] 按鈕來檢查程序的狀態。

下一步

Azure Stack 上的 Azure App 服務 概觀