Azure Stack 허브 암호 및 인증서에 대 한 App Service 회전Rotate App Service on Azure Stack Hub secrets and certificates

이러한 지침은 Azure Stack Hub의 Azure App Service에만 적용 됩니다.These instructions only apply to Azure App Service on Azure Stack Hub. Azure Stack 허브 비밀에 대 한 Azure App Service 회전은 Azure Stack 허브의 중앙 집중화 된 비밀 회전 절차에 포함 되지 않습니다.Rotation of Azure App Service on Azure Stack Hub secrets is not included in the centralized secret rotation procedure for Azure Stack Hub. 운영자는 시스템 내에서 암호의 유효성, 마지막으로 업데이트 된 날짜, 암호가 만료 될 때까지 남은 시간을 모니터링할 수 있습니다.Operators can monitor the validity of secrets within the system, the date on which they were last updated, and the time remaining until the secrets expire.

중요

Azure Stack 허브의 Azure App Service Azure Stack 허브 경고 서비스와 통합 되지 않으므로 운영자는 Azure Stack 허브 대시보드의 비밀 만료에 대 한 경고를 수신 하지 않습니다.Operators won't receive alerts for secret expiration on the Azure Stack Hub dashboard as Azure App Service on Azure Stack Hub is not integrated with the Azure Stack Hub alerting service. 운영자는 Azure Stack 허브 관리자 포털에서 Azure Stack 허브 관리 환경에 Azure App Service를 사용 하 여 정기적으로 암호를 모니터링 해야 합니다.Operators must regularly monitor their secrets using the Azure App Service on Azure Stack Hub administration experience in the Azure Stack Hub administrator portal.

이 문서에는 다음 비밀을 회전 하는 절차가 포함 되어 있습니다.This document contains the procedure for rotating the following secrets:

  • Azure Stack 허브의 Azure App Service 내에서 사용 되는 암호화 키입니다.Encryption keys used within Azure App Service on Azure Stack Hub.
  • Azure Stack 허브의 Azure App Service에서 호스팅 및 계량 데이터베이스와 상호 작용 하는 데 사용 하는 데이터베이스 연결 자격 증명입니다.Database connection credentials used by Azure App Service on Azure Stack Hub to interact with the hosting and metering databases.
  • Azure Active Directory (Azure AD) 또는 Active Directory Federation Services (AD FS)에서 id 응용 프로그램 인증서의 끝점 및 회전을 보호 하기 위해 Azure Stack Hub에서 Azure App Service 하는 데 사용 되는 인증서입니다.Certificates used by Azure App Service on Azure Stack Hub to secure endpoints and rotation of identity application certificates in Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS).
  • Azure Stack 허브 인프라 역할의 Azure App Service에 대 한 시스템 자격 증명System credentials for Azure App Service on Azure Stack Hub infrastructure roles.

암호화 키 회전Rotate encryption keys

Azure Stack Hub에서 Azure App Service 내에 사용 되는 암호화 키를 회전 하려면 다음 단계를 수행 합니다.To rotate the encryption keys used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Azure Stack 허브 관리자 포털에서 App Service 관리 환경으로 이동 합니다.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. 비밀 메뉴 옵션으로 이동 합니다.Go to the Secrets menu option.

  3. 암호화 키 섹션에서 회전 단추를 선택 합니다.Select the Rotate button in the Encryption Keys section.

  4. 확인 을 선택 하 여 회전 절차를 시작 합니다.Select OK to start the rotation procedure.

  5. 암호화 키가 회전 되 고 모든 역할 인스턴스가 업데이트 됩니다.The encryption keys are rotated and all role instances are updated. 연산자는 상태 단추를 사용 하 여 프로시저의 상태를 확인할 수 있습니다.Operators can check the status of the procedure using the Status button.

연결 문자열 회전Rotate connection strings

데이터베이스에 대 한 데이터베이스 연결 App Service 문자열의 자격 증명을 업데이트 하려면 다음 단계를 수행 합니다.To update the credentials for the database connection string for the App Service hosting and metering databases, take the following steps:

  1. Azure Stack 허브 관리자 포털에서 App Service 관리 환경으로 이동 합니다.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. 비밀 메뉴 옵션으로 이동 합니다.Go to the Secrets menu option.

  3. 연결 문자열 섹션에서 회전 단추를 선택 합니다.Select the Rotate button in the Connection Strings section.

  4. SQL SA 사용자 이름암호 를 입력 하 고 확인 을 선택 하 여 회전 절차를 시작 합니다.Provide the SQL SA Username and Password and select OK to start the rotation procedure.

  5. 자격 증명은 Azure App Service 역할 인스턴스 전체에서 순환 됩니다.The credentials are rotated throughout the Azure App Service role instances. 연산자는 상태 단추를 사용 하 여 프로시저의 상태를 확인할 수 있습니다.Operators can check the status of the procedure using the Status button.

인증서 회전Rotate certificates

Azure Stack Hub에서 Azure App Service 내에 사용 되는 인증서를 회전 하려면 다음 단계를 수행 합니다.To rotate the certificates used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Azure Stack 허브 관리자 포털에서 App Service 관리 환경으로 이동 합니다.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. 비밀 메뉴 옵션으로 이동 합니다.Go to the Secrets menu option.

  3. 인증서 섹션에서 회전 단추를 선택 합니다.Select the Rotate button in the Certificates section

  4. 회전 하려는 인증서의 인증서 파일 및 관련 암호 를 입력 하 고 확인을 선택 합니다.Provide the certificate file and associated password for the certificates you wish to rotate and select OK.

  5. 인증서는 Azure Stack 허브 역할 인스턴스의 Azure App Service 전체에서 필요에 따라 회전 됩니다.The certificates are rotated as required throughout the Azure App Service on Azure Stack Hub role instances. 연산자는 상태 단추를 사용 하 여 프로시저의 상태를 확인할 수 있습니다.Operators can check the status of the procedure using the Status button.

Id 응용 프로그램 인증서를 회전 하는 경우 Azure AD 또는 AD FS의 해당 앱도 새 인증서로 업데이트 해야 합니다.When the identity application certificate is rotated, the corresponding app in Azure AD or AD FS must also be updated with the new certificate.

중요

회전 후 새 인증서를 사용 하 여 id 응용 프로그램을 업데이트 하지 못하면 사용자가 KUDU 개발자 도구를 사용할 수 없게 되 고 관리자가 App Service 관리 환경에서 작업자 계층 규모 집합을 관리 하지 못하도록 하는 Azure Functions에 대 한 사용자 포털 환경이 중단 됩니다.Failure to update the identity application with the new certificate after rotation will break the user portal experience for Azure Functions, prevent users from being able to use the KUDU developer tools, and prevent admins from managing worker tier scale sets from the App Service administration experience.

Azure AD id 응용 프로그램에 대 한 자격 증명 회전Rotate credential for the Azure AD identity application

Id 응용 프로그램은 Azure Stack Hub에 Azure App Service를 배포 하기 전에 운영자가 만듭니다.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. 응용 프로그램 ID를 알 수 없는 경우 다음 단계에 따라 검색 합니다.If the application ID is unknown, follow these steps to discover it:

  1. Azure Stack 허브 관리자 포털로이동 합니다.Go to the Azure Stack Hub administrator portal.

  2. 구독 으로 이동 하 여 기본 공급자 구독을 선택 합니다.Go to Subscriptions and select Default Provider Subscription.

  3. Access Control (IAM) 을 선택 하 고 App Service 응용 프로그램을 선택 합니다.Select Access Control (IAM) and select the App Service application.

  4. 앱 id를 기록해 둡니다 .이 값은 Azure AD에서 업데이트 되어야 하는 id 응용 프로그램의 응용 프로그램 id입니다.Take a note of the APP ID, this value is the application ID of the identity application that must be updated in Azure AD.

Azure AD에서 응용 프로그램에 대 한 인증서를 회전 하려면 다음 단계를 수행 합니다.To rotate the certificate for the application in Azure AD, follow these steps:

  1. Azure Portal 로 이동 하 고 Azure Stack 허브를 배포 하는 데 사용 되는 전역 관리자를 사용 하 여 로그인 합니다.Go to the Azure portal and sign in using the Global Admin used to deploy Azure Stack Hub.

  2. Azure Active Directory 로 이동 하 여 앱 등록으로 이동 합니다.Go to Azure Active Directory and browse to App Registrations.

  3. 응용 프로그램 id를 검색 한 다음 Id 응용 프로그램 id를 지정 합니다.Search for the Application ID, then specify the identity Application ID.

  4. 응용 프로그램을 선택한 다음 인증서 & 암호로 이동 합니다.Select the application and then go to Certificates & Secrets.

  5. 인증서 업로드 를 선택 하 고 다음 파일 형식 중 하나를 사용 하 여 id 응용 프로그램에 대 한 새 인증서를 업로드 합니다. .cer, pem, .crt.Select Upload certificate and upload the new certificate for the identity application with one of the following file types: .cer, .pem, .crt.

  6. Azure Stack 허브 관리자 포털의 App Service 관리 환경에 나열 된 지문이 일치 하는지 확인 합니다.Confirm the thumbprint matches that listed in the App Service administration experience in the Azure Stack Hub administrator portal.

  7. 기존 인증서를 삭제합니다.Delete the old certificate.

AD FS identity 응용 프로그램에 대 한 인증서 회전Rotate certificate for AD FS identity application

Id 응용 프로그램은 Azure Stack Hub에 Azure App Service를 배포 하기 전에 운영자가 만듭니다.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. 응용 프로그램의 개체 ID를 알 수 없는 경우 다음 단계에 따라 검색 합니다.If the application's object ID is unknown, follow these steps to discover it:

  1. Azure Stack 허브 관리자 포털로이동 합니다.Go to the Azure Stack Hub administrator portal.

  2. 구독 으로 이동 하 여 기본 공급자 구독을 선택 합니다.Go to Subscriptions and select Default Provider Subscription.

  3. Access Control (IAM) 을 선택 하 고 Azurestack -AppService 을 선택 합니다.Select Access Control (IAM) and select the AzureStack-AppService- application.

  4. 개체 id를 기록해 둡니다 .이 값은 AD FS에서 업데이트 해야 하는 서비스 주체의 id입니다.Take a note of the Object ID, this value is the ID of the Service Principal that must be updated in AD FS.

AD FS에서 응용 프로그램에 대 한 인증서를 회전 하려면 권한 있는 끝점 (PEP)에 액세스할 수 있어야 합니다.To rotate the certificate for the application in AD FS, you need to have access to the privileged endpoint (PEP). 그런 다음 PowerShell을 사용 하 여 인증서 자격 증명을 업데이트 하 고 다음 자리 표시자에 대 한 고유한 값을 바꿉니다.Then you update the certificate credential using PowerShell, replacing your own values for the following placeholders:

자리 표시자Placeholder 설명Description 예제Example
<PepVM> Azure Stack 허브 인스턴스의 권한 있는 끝점 VM 이름입니다.The name of the privileged endpoint VM on your Azure Stack Hub instance. "AzS-ERCS01""AzS-ERCS01"
<CertificateFileLocation> 디스크에 있는 X509 인증서의 위치입니다.The location of your X509 certificate on disk. "d:\certs\sso.cer""d:\certs\sso.cer"
<ApplicationObjectId> Id 응용 프로그램에 할당 된 식별자입니다.The identifier assigned to the identity application. "S-1-5-21-401916501-2345862468-1451220656-1451""S-1-5-21-401916501-2345862468-1451220656-1451"
  1. 관리자 권한 Windows PowerShell 세션을 열고 다음 스크립트를 실행 합니다.Open an elevated Windows PowerShell session and run the following script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. 스크립트가 완료 되 면 인증서에 대 한 지문 값을 포함 하 여 업데이트 된 앱 등록 정보를 표시 합니다.After the script finishes, it displays the updated app registration info, including the thumbprint value for the certificate.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

시스템 자격 증명 회전Rotate system credentials

Azure Stack Hub에서 Azure App Service 내에 사용 되는 시스템 자격 증명을 회전 하려면 다음 단계를 수행 합니다.To rotate the system credentials used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Azure Stack 허브 관리자 포털에서 App Service 관리 환경으로 이동 합니다.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. 비밀 메뉴 옵션으로 이동 합니다.Go to the Secrets menu option.

  3. 시스템 자격 증명 섹션에서 회전 단추를 선택 합니다.Select the Rotate button in the System Credentials section.

  4. 회전 하는 시스템 자격 증명의 범위 를 선택 합니다.Select the Scope of the System Credential you're rotating. 운영자는 모든 역할 또는 개별 역할에 대 한 시스템 자격 증명을 회전 하도록 선택할 수 있습니다.Operators can choose to rotate the system credentials for all roles or individual roles.

  5. 새 로컬 관리자 사용자 이름 및 새 암호를 지정 합니다.Specify a new Local Admin User Name and a new Password. 그런 다음 암호 를 확인 하 고 확인을 선택 합니다.Then confirm the Password and select OK.

  6. 자격 증명은 Azure Stack Hub 역할 인스턴스의 해당 Azure App Service 전체에서 필요에 따라 회전 됩니다.The credential(s) are rotated as required throughout the corresponding Azure App Service on Azure Stack Hub role instance. 연산자는 상태 단추를 사용 하 여 프로시저의 상태를 확인할 수 있습니다.Operators can check the status of the procedure using the Status button.