Ruotare segreti e certificati nel servizio app dell'hub di Azure Stack

Queste istruzioni si applicano solo alle Servizio app di Azure in hub di Azure Stack. La rotazione Servizio app di Azure dei segreti hub di Azure Stack non è inclusa nella procedura di rotazione centralizzata dei segreti per hub di Azure Stack. Gli operatori possono monitorare la validità dei segreti all'interno del sistema, la data dell'ultimo aggiornamento e il tempo rimanente fino alla scadenza dei segreti.

Importante

Gli operatori non riceveranno avvisi per la scadenza del segreto nel dashboard di hub di Azure Stack perché Servizio app di Azure in hub di Azure Stack non è integrato con il servizio hub di Azure Stack avvisi. Gli operatori devono monitorare regolarmente i segreti usando Servizio app di Azure'hub di Azure Stack'esperienza di amministrazione nel portale hub di Azure Stack amministratore.

Questo documento contiene la procedura per ruotare i segreti seguenti:

  • Chiavi di crittografia usate all'interno Servizio app di Azure in hub di Azure Stack.
  • Le credenziali di connessione al database usate Servizio app di Azure in hub di Azure Stack interagire con i database di hosting e controllo.
  • Certificati usati da Servizio app di Azure in hub di Azure Stack per proteggere gli endpoint e la rotazione dei certificati dell'applicazione di identità in Azure Active Directory (Azure AD) o Active Directory Federation Services (AD FS).
  • Le credenziali di sistema per Servizio app di Azure nei hub di Azure Stack dell'infrastruttura.

Ruotare le chiavi di crittografia

Per ruotare le chiavi di crittografia usate Servizio app di Azure in hub di Azure Stack, seguire questa procedura:

  1. Passare all'esperienza di amministrazione del servizio app nel portale hub di Azure Stack di amministrazione.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Chiavi di crittografia.

  4. Selezionare OK per avviare la procedura di rotazione.

  5. Le chiavi di crittografia vengono ruotate e tutte le istanze del ruolo vengono aggiornate. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.

Ruotare le stringhe di connessione

Per aggiornare le credenziali per la stringa di connessione del database per i database di hosting e controllo del servizio app, seguire questa procedura:

  1. Passare all'esperienza di amministrazione del servizio app nel portale hub di Azure Stack di amministrazione.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Stringhe di connessione.

  4. Specificare il nome SQL sa sa ela password e selezionare OK per avviare la procedura di rotazione.

  5. Le credenziali vengono ruotate in tutte le istanze Servizio app di Azure ruolo. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.

Ruotare i certificati

Per ruotare i certificati usati Servizio app di Azure in hub di Azure Stack, seguire questa procedura:

  1. Passare all'esperienza di amministrazione del servizio app nel portale hub di Azure Stack di amministrazione.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Certificati

  4. Specificare il file del certificato e la password associata per i certificati da ruotare e selezionare OK.

  5. I certificati vengono ruotati in base alle esigenze nell'Servizio app di Azure in hub di Azure Stack del ruolo. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.

Quando il certificato dell'applicazione di identità viene ruotato, anche l'app corrispondente in Azure AD o AD FS deve essere aggiornata con il nuovo certificato.

Importante

Se non si aggiorna l'applicazione di identità con il nuovo certificato dopo la rotazione, si interrompe l'esperienza del portale utenti per Funzioni di Azure, si impedisce agli utenti di usare gli strumenti di sviluppo KUDU e si impedisce agli amministratori di gestire i set di scalabilità di livello di lavoro dall'esperienza di amministrazione del servizio app.

Ruotare le credenziali per l'Azure AD di identità utente

L'applicazione di identità viene creata dall'operatore prima della Servizio app di Azure in hub di Azure Stack. Se l'ID applicazione è sconosciuto, seguire questa procedura per individuarlo:

  1. Passare al portale hub di Azure Stack amministratore.

  2. Passare a Sottoscrizioni e selezionare Sottoscrizione provider predefinita.

  3. Selezionare Controllo di accesso (IAM) e selezionare l'applicazione del servizio app.

  4. Prendere nota dell'ID APP. Questo valore è l'ID applicazione dell'applicazione di identità che deve essere aggiornato in Azure AD.

Per ruotare il certificato per l'applicazione in Azure AD, seguire questa procedura:

  1. Passare al portale portale di Azure accedere usando l'amministratore globale usato per distribuire hub di Azure Stack.

  2. Passare a Azure Active Directory e quindi a Registrazioni app.

  3. Cercare l'ID applicazione e quindi specificare l'ID applicazione dell'identità.

  4. Selezionare l'applicazione e quindi passare a Certificati segreti.

  5. Selezionare Upload certificato e caricare il nuovo certificato per l'applicazione di identità con uno dei tipi di file seguenti: .cer, .pem, .crt.

  6. Verificare che l'identificazione personale corrisponda a quella elencata nell'esperienza di amministrazione del servizio app nel hub di Azure Stack di amministrazione.

  7. Eliminare il certificato precedente.

Ruotare il certificato per AD FS'applicazione di identità

L'applicazione di identità viene creata dall'operatore prima della Servizio app di Azure in hub di Azure Stack. Se l'ID oggetto dell'applicazione è sconosciuto, seguire questa procedura per individuarlo:

  1. Passare al portale hub di Azure Stack amministratore.

  2. Passare a Sottoscrizioni e selezionare Sottoscrizione provider predefinita.

  3. Selezionare Controllo di accesso (IAM) e quindi l'applicazione AzureStack-AppService-guid.

  4. Prendere nota dell'ID oggetto. Questo valore è l'ID dell'entità servizio che deve essere aggiornato in AD FS.

Per ruotare il certificato per l'applicazione in AD FS, è necessario avere accesso all'endpoint con privilegi . Aggiornare quindi le credenziali del certificato usando PowerShell, sostituendo i propri valori con i segnaposto seguenti:

Segnaposto Descrizione Esempio
<PepVM> Nome della macchina virtuale dell'endpoint con privilegi nell'hub di Azure Stack virtuale. "AzS-ERCS01"
<CertificateFileLocation> Percorso del certificato X509 su disco. "d:\certs\sso.cer"
<ApplicationObjectId> Identificatore assegnato all'applicazione di identità. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Aprire una sessione di Windows PowerShell con privilegi elevati ed eseguire lo script seguente:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Al termine dello script, vengono visualizzate le informazioni di registrazione dell'app aggiornate, incluso il valore di identificazione personale per il certificato.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Ruotare le credenziali di sistema

Per ruotare le credenziali di sistema usate Servizio app di Azure in hub di Azure Stack, seguire questa procedura:

  1. Passare all'esperienza di amministrazione del servizio app nel portale hub di Azure Stack di amministrazione.

  2. Passare all'opzione di menu Segreti.

  3. Selezionare il pulsante Ruota nella sezione Credenziali di sistema.

  4. Selezionare l'ambito delle credenziali di sistema da ruotare. Gli operatori possono scegliere di ruotare le credenziali di sistema per tutti i ruoli o i singoli ruoli.

  5. Specificare un nuovo nome utente amministratore locale e una nuova password. Confermare quindi la password e selezionare OK.

  6. Le credenziali vengono ruotate in base alle esigenze in tutte le istanze Servizio app di Azure nell hub di Azure Stack del ruolo. Gli operatori possono controllare lo stato della procedura usando il pulsante Stato.