Rotera hemligheter och certifikat i App Service på Azure Stack Hub

De här anvisningarna gäller endast för Azure App Service på Azure Stack Hub. Rotation av Azure App Service på Azure Stack Hub-hemligheter ingår inte i den centraliserade rotationsproceduren för hemligheter för Azure Stack Hub. Operatorer kan övervaka giltigheten för hemligheter i systemet, det datum då de senast uppdaterades och den tid som återstår tills hemligheterna upphör att gälla.

Viktigt!

Operatörer får inga aviseringar om att hemligheten upphör att gälla på Azure Stack Hub-instrumentpanelen eftersom Azure App Service på Azure Stack Hub inte är integrerad med Azure Stack Hub-aviseringstjänsten. Operatörer måste regelbundet övervaka sina hemligheter med hjälp av Azure App Service på Azure Stack Hub-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

Det här dokumentet innehåller proceduren för att rotera följande hemligheter:

  • Krypteringsnycklar som används i Azure App Service på Azure Stack Hub.
  • Autentiseringsuppgifter för databasanslutning som används av Azure App Service på Azure Stack Hub för att interagera med värd- och avläsningsdatabaserna.
  • Certifikat som används av Azure App Service på Azure Stack Hub för att skydda slutpunkter och rotation av identitetsprogramcertifikat i Microsoft Entra-ID eller Active Directory Federation Services (AD FS) (AD FS).
  • Systemautentiseringsuppgifter för Azure App Service på Azure Stack Hub-infrastrukturroller.

Rotera krypteringsnycklar

Utför följande steg för att rotera de krypteringsnycklar som används i Azure App Service på Azure Stack Hub:

  1. Gå till App Service-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

  2. Gå till menyalternativet Hemligheter .

  3. Välj knappen Rotera i avsnittet Krypteringsnycklar.

  4. Välj OK för att starta rotationsproceduren.

  5. Krypteringsnycklarna roteras och alla rollinstanser uppdateras. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

Rotera anslutningssträng

Utför följande steg för att uppdatera autentiseringsuppgifterna för databasen anslutningssträng för App Service-värd- och avläsningsdatabaserna:

  1. Gå till App Service-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

  2. Gå till menyalternativet Hemligheter .

  3. Välj knappen Rotera i avsnittet Anslutningssträngar.

  4. Ange SQL SA-användarnamnet och lösenordet och välj OK för att starta rotationsproceduren.

  5. Autentiseringsuppgifterna roteras i rollinstanserna i Azure App Service. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

Rotera certifikat

Utför följande steg för att rotera certifikaten som används i Azure App Service på Azure Stack Hub:

  1. Gå till App Service-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

  2. Gå till menyalternativet Hemligheter .

  3. Välj knappen Rotera i avsnittet Certifikat

  4. Ange certifikatfilen och tillhörande lösenord för de certifikat som du vill rotera och välj OK.

  5. Certifikaten roteras efter behov i Azure App Service på Azure Stack Hub-rollinstanser. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

När identitetsprogrammets certifikat roteras måste motsvarande app i Microsoft Entra-ID eller AD FS också uppdateras med det nya certifikatet.

Viktigt!

Om du inte uppdaterar identitetsprogrammet med det nya certifikatet efter rotationen bryts användarportalens upplevelse för Azure Functions, förhindrar att användare kan använda KUDU-utvecklarverktygen och hindrar administratörer från att hantera skalningsuppsättningar på arbetsnivå från App Service-administrationsmiljön.

Rotera autentiseringsuppgifter för Microsoft Entra-identitetsprogrammet

Identitetsprogrammet skapas av operatören innan Azure App Service distribueras på Azure Stack Hub. Om program-ID:t är okänt följer du dessa steg för att identifiera det:

  1. Gå till Azure Stack Hub-administratörsportalen.

  2. Gå till Prenumerationer och välj Standardleverantörsprenumeration.

  3. Välj Åtkomstkontroll (IAM) och välj App Service-programmet .

  4. Anteckna APP-ID:t. Det här värdet är program-ID:t för identitetsprogrammet som måste uppdateras i Microsoft Entra-ID.

Så här roterar du certifikatet för programmet i Microsoft Entra-ID:

  1. Gå till Azure Portal och logga in med administratören som används för att distribuera Azure Stack Hub.

  2. Gå till Microsoft Entra-ID och bläddra till Appregistreringar.

  3. Sök efter program-ID:t och ange sedan identitetens program-ID.

  4. Välj programmet och gå sedan till Certifikat och hemligheter.

  5. Välj Ladda upp certifikat och ladda upp det nya certifikatet för identitetsprogrammet med någon av följande filtyper: .cer, .pem, .crt.

  6. Bekräfta att tumavtrycket matchar det som visas i App Service-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

  7. Ta bort det gamla certifikatet.

Rotera certifikat för AD FS-identitetsprogram

Identitetsprogrammet skapas av operatören innan Azure App Service distribueras på Azure Stack Hub. Om programmets objekt-ID är okänt följer du dessa steg för att identifiera det:

  1. Gå till Azure Stack Hub-administratörsportalen.

  2. Gå till Prenumerationer och välj Standardleverantörsprenumeration.

  3. Välj Åtkomstkontroll (IAM) och välj programmet AzureStack-AppService-guid><.

  4. Anteckna objekt-ID:t. Det här värdet är ID:t för tjänstens huvudnamn som måste uppdateras i AD FS.

Om du vill rotera certifikatet för programmet i AD FS måste du ha åtkomst till den privilegierade slutpunkten (PEP). Sedan uppdaterar du certifikatautentiseringsuppgifterna med PowerShell och ersätter dina egna värden för följande platshållare:

Platshållare Beskrivning Exempel
<PepVM> Namnet på den privilegierade virtuella slutpunktsdatorn på din Azure Stack Hub-instans. "AzS-ERCS01"
<CertificateFileLocation> Platsen för X509-certifikatet på disken. "d:\certs\sso.cer"
<ApplicationObjectId> Identifieraren som tilldelats identitetsprogrammet. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Öppna en upphöjd Windows PowerShell-session och kör följande skript:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. När skriptet är klart visas den uppdaterade appregistreringsinformationen, inklusive tumavtrycksvärdet för certifikatet.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Rotera systemautentiseringsuppgifter

Utför följande steg för att rotera de systemautentiseringsuppgifter som används i Azure App Service på Azure Stack Hub:

  1. Gå till App Service-administrationsupplevelsen i Azure Stack Hub-administratörsportalen.

  2. Gå till menyalternativet Hemligheter .

  3. Välj knappen Rotera i avsnittet Systemautentiseringsuppgifter.

    Viktigt!

    Om omfånget du väljer är Alla eller Hanteringsserver uppdateras även autentiseringsuppgifterna för kontrollanterna med det angivna nya användarnamnet och lösenordet.

  4. Välj omfånget för systemautentiseringsuppgifterna som du roterar. Operatorer kan välja att rotera systemets autentiseringsuppgifter för alla roller eller för enskilda roller.

  5. Ange ett nytt lokalt administratörsanvändarnamn och ett nytt lösenord. Bekräfta sedan lösenordet och välj OK.

  6. Autentiseringsuppgifterna roteras efter behov i motsvarande Azure App Service på Azure Stack Hub-rollinstansen. Operatorer kan kontrollera status för proceduren med hjälp av knappen Status .

Nästa steg

Översikt över Azure App Service på Azure Stack