Az App Service rotálása az Azure Stack Hubon – titkos kódok és tanúsítványok

  • Cikk

Ezek az utasítások csak az Azure Stack Hub Azure App Service vonatkoznak. Az Azure Stack Hub titkos kulcsainak Azure App Service rotálása nem szerepel az Azure Stack Hub központi titkoskód-rotálási eljárásában. Az operátorok figyelhetik a titkos kódok érvényességét a rendszeren belül, az utolsó frissítés dátumát és a titkos kódok lejáratáig hátralévő időt.

Fontos

Az operátorok nem kapnak titkos kódok lejáratára vonatkozó riasztásokat az Azure Stack Hub irányítópultján, mivel az Azure Stack Hubon Azure App Service nincs integrálva az Azure Stack Hub riasztási szolgáltatásával. Az operátoroknak rendszeresen monitorozniuk kell titkos kulcsaikat az Azure Stack Hub felügyeleti felületén található Azure App Service használatával az Azure Stack Hub felügyeleti portálján.

Ez a dokumentum a következő titkos kódok elforgatásának eljárását tartalmazza:

  • Az Azure Stack Hubon Azure App Service használt titkosítási kulcsok.
  • Az Azure Stack Hubon Azure App Service által használt adatbázis-kapcsolati hitelesítő adatok az üzemeltetési és mérési adatbázisok használatához.
  • Az Azure Stack Hubon a Azure App Service által használt tanúsítványok a végpontok védelmére és az identitásalkalmazási tanúsítványok rotálására Microsoft Entra azonosítóban vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS- ben).
  • Rendszer hitelesítő adatok az Azure Stack Hub-infrastruktúra-szerepkörök Azure App Service.

Titkosítási kulcsok elforgatása

Az Azure Stack Hubon Azure App Service használt titkosítási kulcsok elforgatásához hajtsa végre a következő lépéseket:

  1. Nyissa meg a App Service felügyeleti felületet az Azure Stack Hub felügyeleti portálján.

  2. Nyissa meg a Titkos kódok menüt.

  3. Válassza az Elforgatás gombot a Titkosítási kulcsok szakaszban.

  4. Válassza az OK gombot a forgatási eljárás elindításához.

  5. A titkosítási kulcsok forognak, és minden szerepkörpéldány frissül. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.

Kapcsolati sztringek elforgatása

Az adatbázis hitelesítő adatainak frissítéséhez kapcsolati karakterlánc a App Service üzemeltetési és mérési adatbázisokhoz, kövesse az alábbi lépéseket:

  1. Nyissa meg a App Service felügyeleti felületet az Azure Stack Hub felügyeleti portálján.

  2. Nyissa meg a Titkos kódok menüt.

  3. Válassza az Elforgatás gombot a Kapcsolati sztringek szakaszban.

  4. Adja meg az SQL SA felhasználónevét és jelszavát , és válassza az OK gombot a rotációs eljárás elindításához.

  5. A hitelesítő adatok a Azure App Service szerepkörpéldányok között forognak. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.

Tanúsítványok váltása

Az Azure Stack Hubon Azure App Service használt tanúsítványok elforgatásához hajtsa végre a következő lépéseket:

  1. Nyissa meg a App Service felügyeleti felületet az Azure Stack Hub felügyeleti portálján.

  2. Nyissa meg a Titkos kódok menüt.

  3. Válassza a Forgatás gombot a Tanúsítványok szakaszban

  4. Adja meg a tanúsítványfájlt és a hozzá tartozó jelszót az elforgatni kívánt tanúsítványokhoz, és válassza az OK gombot.

  5. A tanúsítványok szükség szerint forognak az Azure Stack Hub-szerepkörpéldányok Azure App Service. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.

Az identitásalkalmazás tanúsítványának elforgatásakor a megfelelő alkalmazást Microsoft Entra azonosítóban vagy AD FS-ben is frissíteni kell az új tanúsítvánnyal.

Fontos

Ha nem sikerül frissíteni az identitásalkalmazást az új tanúsítvánnyal, miután a rotáció megszakítja a felhasználói portál Azure Functions használatát, megakadályozza, hogy a felhasználók használhassák a KUDU fejlesztői eszközöket, és megakadályozzák, hogy a rendszergazdák a App Service felügyeleti felületről felügyelhessék a feldolgozói rétegbeli méretezési csoportokat.

Hitelesítő adatok elforgatása az Microsoft Entra identitásalkalmazáshoz

Az identitásalkalmazást az operátor hozza létre a Azure App Service Az Azure Stack Hubon való üzembe helyezése előtt. Ha az alkalmazásazonosító ismeretlen, az alábbi lépéseket követve derítheti fel:

  1. Nyissa meg az Azure Stack Hub rendszergazdai portálját.

  2. Lépjen az Előfizetések területre, és válassza az Alapértelmezett szolgáltatói előfizetés lehetőséget.

  3. Válassza a Access Control (IAM) lehetőséget, és válassza ki a App Service alkalmazást.

  4. Jegyezze fel az alkalmazásazonosítót, ez az érték annak az identitásalkalmazásnak az alkalmazásazonosítója, amelyet frissíteni kell Microsoft Entra azonosítóban.

Ha az alkalmazás tanúsítványát Microsoft Entra azonosítóban szeretné elforgatni, kövesse az alábbi lépéseket:

  1. Lépjen a Azure Portal, és jelentkezzen be az Azure Stack Hub üzembe helyezéséhez használt globális Rendszergazda használatával.

  2. Lépjen Microsoft Entra azonosítóhoz, és keresse meg az alkalmazásregisztrációkat.

  3. Keresse meg az alkalmazásazonosítót, majd adja meg az identitás alkalmazásazonosítóját.

  4. Jelölje ki az alkalmazást, majd lépjen a Tanúsítványok & Titkos kódok elemre.

  5. Válassza a Tanúsítvány feltöltése lehetőséget, és töltse fel az identitásalkalmazás új tanúsítványát a következő fájltípusok egyikével: .cer, .pem, .crt.

  6. Ellenőrizze az azure Stack Hub rendszergazdai portáljának App Service felügyeleti felületén felsorolt ujjlenyomat-egyezéseket.

  7. Törölje a régi tanúsítványt.

Tanúsítvány elforgatása az AD FS-identitásalkalmazáshoz

Az identitásalkalmazást az operátor hozza létre a Azure App Service Az Azure Stack Hubon való üzembe helyezése előtt. Ha az alkalmazás objektumazonosítója ismeretlen, az alábbi lépésekkel derítheti fel:

  1. Nyissa meg az Azure Stack Hub rendszergazdai portálját.

  2. Lépjen az Előfizetések területre, és válassza az Alapértelmezett szolgáltatói előfizetés lehetőséget.

  3. Válassza a Access Control (IAM) lehetőséget, és válassza ki az AzureStack-AppService-guid<> alkalmazást.

  4. Jegyezze fel az objektumazonosítót, ez az érték a szolgáltatásnév azonosítója, amelyet frissíteni kell az AD FS-ben.

Az alkalmazás tanúsítványának az AD FS-ben való elforgatásához hozzáféréssel kell rendelkeznie a kiemelt végponthoz (PEP). Ezután frissíti a tanúsítvány hitelesítő adatait a PowerShell használatával, és lecseréli a saját értékeit a következő helyőrzőkre:

Helyőrző Leírás Példa
<PepVM> A kiemelt végpontú virtuális gép neve az Azure Stack Hub-példányon. "AzS-ERCS01"
<CertificateFileLocation> Az X509-tanúsítvány helye a lemezen. "d:\certs\sso.cer"
<ApplicationObjectId> Az identitásalkalmazáshoz rendelt azonosító. "S-1-5-21-401916501-2345862468-1451220656-1451"

  1. Nyisson meg egy emelt szintű Windows PowerShell munkamenetet, és futtassa a következő szkriptet:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. A szkript befejezése után megjeleníti a frissített alkalmazásregisztrációs adatokat, beleértve a tanúsítvány ujjlenyomat-értékét is.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Rendszer hitelesítő adatainak elforgatása

Az Azure Stack Hub Azure App Service-ben használt rendszer hitelesítő adatainak elforgatásához hajtsa végre az alábbi lépéseket:

  1. Nyissa meg a App Service felügyeleti felületet az Azure Stack Hub felügyeleti portálján.

  2. Nyissa meg a Titkos kódok menüt.

  3. Válassza az Elforgatás gombot a Rendszer hitelesítő adatai szakaszban.

  4. Válassza ki a forgatott rendszer hitelesítő adatainak hatókörét . Az operátorok dönthetnek úgy, hogy az összes szerepkörhöz vagy egyéni szerepkörhöz elforgatják a rendszer hitelesítő adatait.

  5. Adjon meg egy új helyi Rendszergazda felhasználónevet és egy új jelszót. Ezután erősítse meg a Jelszót , és válassza az OK gombot.

  6. A hitelesítő adatok szükség szerint rotálódnak az Azure Stack Hub szerepkörpéldányának megfelelő Azure App Service. Az operátorok az Állapot gombbal ellenőrizhetik az eljárás állapotát.