Ruotare il servizio app nei segreti e nei certificati dell'hub Azure StackRotate App Service on Azure Stack Hub secrets and certificates

Queste istruzioni si applicano solo al servizio app Azure nell'hub Azure Stack.These instructions only apply to Azure App Service on Azure Stack Hub. La rotazione del servizio app Azure nei segreti di Azure Stack Hub non è inclusa nella procedura di rotazione del segreto centralizzata per Azure Stack Hub.Rotation of Azure App Service on Azure Stack Hub secrets is not included in the centralized secret rotation procedure for Azure Stack Hub. Gli operatori possono monitorare la validità dei segreti all'interno del sistema, la data dell'ultimo aggiornamento e il tempo rimanente fino alla scadenza dei segreti.Operators can monitor the validity of secrets within the system, the date on which they were last updated, and the time remaining until the secrets expire.

Importante

Gli operatori non riceveranno avvisi per la scadenza del segreto nel dashboard dell'hub Azure Stack perché app Azure servizio nell'hub Azure Stack non è integrato con il servizio di avvisi dell'hub Azure Stack.Operators won't receive alerts for secret expiration on the Azure Stack Hub dashboard as Azure App Service on Azure Stack Hub is not integrated with the Azure Stack Hub alerting service. Gli operatori devono monitorare regolarmente i segreti usando il servizio app Azure nell'esperienza di amministrazione dell'hub Azure Stack nel portale di amministrazione dell'hub Azure Stack.Operators must regularly monitor their secrets using the Azure App Service on Azure Stack Hub administration experience in the Azure Stack Hub administrator portal.

Questo documento contiene la procedura per la rotazione dei segreti seguenti:This document contains the procedure for rotating the following secrets:

  • Chiavi di crittografia usate nel servizio app Azure nell'hub Azure Stack.Encryption keys used within Azure App Service on Azure Stack Hub.
  • Credenziali di connessione al database usate dal servizio app Azure nell'hub Azure Stack per interagire con i database di hosting e di misurazione.Database connection credentials used by Azure App Service on Azure Stack Hub to interact with the hosting and metering databases.
  • Certificati utilizzati dal servizio app Azure nell'hub Azure Stack per proteggere gli endpoint e la rotazione dei certificati dell'applicazione di identità in Azure Active Directory (Azure AD) o Active Directory Federation Services (AD FS).Certificates used by Azure App Service on Azure Stack Hub to secure endpoints and rotation of identity application certificates in Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS).
  • Credenziali di sistema per app Azure servizio nei ruoli dell'infrastruttura dell'hub Azure Stack.System credentials for Azure App Service on Azure Stack Hub infrastructure roles.

Ruotare le chiavi di crittografiaRotate encryption keys

Per ruotare le chiavi di crittografia usate nel servizio app Azure nell'hub Azure Stack, seguire questa procedura:To rotate the encryption keys used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Passare all'esperienza di amministrazione del servizio app nel portale di amministrazione dell'hub Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Passare all'opzione di menu Secrets .Go to the Secrets menu option.

  3. Selezionare il pulsante ruota nella sezione chiavi di crittografia.Select the Rotate button in the Encryption Keys section.

  4. Selezionare OK per avviare la procedura di rotazione.Select OK to start the rotation procedure.

  5. Le chiavi di crittografia vengono ruotate e tutte le istanze del ruolo vengono aggiornate.The encryption keys are rotated and all role instances are updated. Gli operatori possono controllare lo stato della procedura utilizzando il pulsante stato .Operators can check the status of the procedure using the Status button.

Ruotare le stringhe di connessioneRotate connection strings

Per aggiornare le credenziali per la stringa di connessione del database per i database di hosting e di misurazione del servizio app, seguire questa procedura:To update the credentials for the database connection string for the App Service hosting and metering databases, take the following steps:

  1. Passare all'esperienza di amministrazione del servizio app nel portale di amministrazione dell'hub Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Passare all'opzione di menu Secrets .Go to the Secrets menu option.

  3. Selezionare il pulsante ruota nella sezione stringhe di connessione.Select the Rotate button in the Connection Strings section.

  4. Fornire il nome utente e la password di SQL SA e selezionare OK per avviare la procedura di rotazione.Provide the SQL SA Username and Password and select OK to start the rotation procedure.

  5. Le credenziali vengono ruotate in tutte le istanze del ruolo del servizio app Azure.The credentials are rotated throughout the Azure App Service role instances. Gli operatori possono controllare lo stato della procedura utilizzando il pulsante stato .Operators can check the status of the procedure using the Status button.

Ruotare i certificatiRotate certificates

Per ruotare i certificati usati in app Azure servizio nell'hub Azure Stack, seguire questa procedura:To rotate the certificates used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Passare all'esperienza di amministrazione del servizio app nel portale di amministrazione dell'hub Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Passare all'opzione di menu Secrets .Go to the Secrets menu option.

  3. Selezionare il pulsante ruota nella sezione certificatiSelect the Rotate button in the Certificates section

  4. Specificare il file di certificato e la password associata per i certificati che si desidera ruotare e selezionare OK.Provide the certificate file and associated password for the certificates you wish to rotate and select OK.

  5. I certificati vengono ruotati come richiesto nell'ambito del servizio app Azure nelle istanze del ruolo Hub Azure Stack.The certificates are rotated as required throughout the Azure App Service on Azure Stack Hub role instances. Gli operatori possono controllare lo stato della procedura utilizzando il pulsante stato .Operators can check the status of the procedure using the Status button.

Quando viene ruotato il certificato dell'applicazione Identity, è necessario aggiornare anche l'app corrispondente in Azure AD o AD FS con il nuovo certificato.When the identity application certificate is rotated, the corresponding app in Azure AD or AD FS must also be updated with the new certificate.

Importante

Se non si aggiorna l'applicazione Identity con il nuovo certificato dopo la rotazione, l'esperienza del portale per gli utenti per funzioni di Azure non può essere usata per impedire agli utenti di usare gli strumenti di sviluppo KUDU e impedire agli amministratori di gestire i set di scalabilità del livello del ruolo di lavoro dall'esperienza di amministrazione del servizio app.Failure to update the identity application with the new certificate after rotation will break the user portal experience for Azure Functions, prevent users from being able to use the KUDU developer tools, and prevent admins from managing worker tier scale sets from the App Service administration experience.

Ruotare le credenziali per l'applicazione Azure AD IdentityRotate credential for the Azure AD identity application

L'applicazione Identity viene creata dall'operatore prima della distribuzione del servizio app Azure nell'hub Azure Stack.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. Se l'ID applicazione è sconosciuto, attenersi alla seguente procedura per individuarlo:If the application ID is unknown, follow these steps to discover it:

  1. Passare al portale di amministrazione dell'Hub Azure stack.Go to the Azure Stack Hub administrator portal.

  2. Passare a sottoscrizioni e selezionare sottoscrizione del provider predefinito.Go to Subscriptions and select Default Provider Subscription.

  3. Selezionare controllo di accesso (IAM) e selezionare l'applicazione del servizio app .Select Access Control (IAM) and select the App Service application.

  4. Prendere nota dell' ID app, questo valore è l'ID applicazione dell'applicazione Identity che deve essere aggiornato in Azure ad.Take a note of the APP ID, this value is the application ID of the identity application that must be updated in Azure AD.

Per ruotare il certificato per l'applicazione in Azure AD, attenersi alla procedura seguente:To rotate the certificate for the application in Azure AD, follow these steps:

  1. Passare alla portale di Azure e accedere usando l'amministratore globale usato per distribuire Azure stack Hub.Go to the Azure portal and sign in using the Global Admin used to deploy Azure Stack Hub.

  2. Passare a Azure Active Directory e passare a registrazioniper l'app.Go to Azure Active Directory and browse to App Registrations.

  3. Cercare l' ID applicazione, quindi specificare l'ID dell'applicazione di identità.Search for the Application ID, then specify the identity Application ID.

  4. Selezionare l'applicazione, quindi passare a certificati & segreti.Select the application and then go to Certificates & Secrets.

  5. Selezionare Carica certificato e caricare il nuovo certificato per l'applicazione Identity con uno dei tipi di file seguenti:. cer,. pem,. CRT.Select Upload certificate and upload the new certificate for the identity application with one of the following file types: .cer, .pem, .crt.

  6. Confermare le corrispondenze di identificazione personale elencate nell'esperienza di amministrazione del servizio app nel portale di amministrazione dell'hub Azure stack.Confirm the thumbprint matches that listed in the App Service administration experience in the Azure Stack Hub administrator portal.

  7. Eliminare il certificato precedente.Delete the old certificate.

Ruotare il certificato per l'applicazione AD FS identitàRotate certificate for AD FS identity application

L'applicazione Identity viene creata dall'operatore prima della distribuzione del servizio app Azure nell'hub Azure Stack.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. Se l'ID oggetto dell'applicazione è sconosciuto, attenersi alla seguente procedura per individuarlo:If the application's object ID is unknown, follow these steps to discover it:

  1. Passare al portale di amministrazione dell'Hub Azure stack.Go to the Azure Stack Hub administrator portal.

  2. Passare a sottoscrizioni e selezionare sottoscrizione del provider predefinito.Go to Subscriptions and select Default Provider Subscription.

  3. Selezionare controllo di accesso (IAM) e selezionare **AzureStack-AppService- ** Application.Select Access Control (IAM) and select the AzureStack-AppService- application.

  4. Prendere nota dell' ID oggetto, questo valore è l'ID dell'entità servizio che deve essere aggiornato in ad FS.Take a note of the Object ID, this value is the ID of the Service Principal that must be updated in AD FS.

Per ruotare il certificato per l'applicazione in AD FS, è necessario avere accesso all'endpoint con privilegi (PEP).To rotate the certificate for the application in AD FS, you need to have access to the privileged endpoint (PEP). Si aggiornano quindi le credenziali del certificato usando PowerShell, sostituendo i propri valori per i segnaposto seguenti:Then you update the certificate credential using PowerShell, replacing your own values for the following placeholders:

SegnapostoPlaceholder DescrizioneDescription EsempioExample
<PepVM> Nome della macchina virtuale dell'endpoint con privilegi nell'istanza dell'hub Azure Stack.The name of the privileged endpoint VM on your Azure Stack Hub instance. "AzS-ERCS01""AzS-ERCS01"
<CertificateFileLocation> Il percorso del certificato X509 su disco.The location of your X509 certificate on disk. "d:\certs\sso.cer""d:\certs\sso.cer"
<ApplicationObjectId> Identificatore assegnato all'applicazione Identity.The identifier assigned to the identity application. "S-1-5-21-401916501-2345862468-1451220656-1451""S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Aprire una sessione di Windows PowerShell con privilegi elevati ed eseguire lo script seguente:Open an elevated Windows PowerShell session and run the following script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Al termine dello script, vengono visualizzate le informazioni di registrazione dell'app aggiornate, incluso il valore di identificazione personale per il certificato.After the script finishes, it displays the updated app registration info, including the thumbprint value for the certificate.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Ruotare le credenziali di sistemaRotate system credentials

Per ruotare le credenziali di sistema usate in app Azure servizio nell'hub Azure Stack, seguire questa procedura:To rotate the system credentials used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Passare all'esperienza di amministrazione del servizio app nel portale di amministrazione dell'hub Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Passare all'opzione di menu Secrets .Go to the Secrets menu option.

  3. Selezionare il pulsante ruota nella sezione credenziali di sistema.Select the Rotate button in the System Credentials section.

  4. Consente di selezionare l' ambito delle credenziali di sistema da ruotare.Select the Scope of the System Credential you're rotating. Gli operatori possono scegliere di ruotare le credenziali di sistema per tutti i ruoli o i singoli ruoli.Operators can choose to rotate the system credentials for all roles or individual roles.

  5. Specificare un nuovo nome utente amministratore locale e una nuova password.Specify a new Local Admin User Name and a new Password. Quindi confermare la password e fare clic su OK.Then confirm the Password and select OK.

  6. Le credenziali vengono ruotate come richiesto nel servizio app Azure corrispondente nell'istanza del ruolo Hub Azure Stack.The credential(s) are rotated as required throughout the corresponding Azure App Service on Azure Stack Hub role instance. Gli operatori possono controllare lo stato della procedura utilizzando il pulsante stato .Operators can check the status of the procedure using the Status button.