Girar o serviço de aplicativo em certificados e segredos do Hub Azure StackRotate App Service on Azure Stack Hub secrets and certificates

Estas instruções se aplicam somente ao serviço Azure App no Hub Azure Stack.These instructions only apply to Azure App Service on Azure Stack Hub. A rotação do serviço de Azure App em segredos de Hub de Azure Stack não está incluída no procedimento de rotação de segredo centralizado para Azure Stack Hub.Rotation of Azure App Service on Azure Stack Hub secrets is not included in the centralized secret rotation procedure for Azure Stack Hub. Os operadores podem monitorar a validade dos segredos no sistema, a data em que eles foram atualizados pela última vez e o tempo restante até que os segredos expirem.Operators can monitor the validity of secrets within the system, the date on which they were last updated, and the time remaining until the secrets expire.

Importante

Os operadores não receberão alertas para expiração do segredo no painel do hub de Azure Stack, pois Azure App serviço no Hub Azure Stack não está integrado ao serviço de alerta do hub de Azure Stack.Operators won't receive alerts for secret expiration on the Azure Stack Hub dashboard as Azure App Service on Azure Stack Hub is not integrated with the Azure Stack Hub alerting service. Os operadores devem monitorar seus segredos regularmente usando o serviço de Azure App na experiência de administração do Hub Azure Stack no portal do administrador do Hub do Azure Stack.Operators must regularly monitor their secrets using the Azure App Service on Azure Stack Hub administration experience in the Azure Stack Hub administrator portal.

Este documento contém o procedimento para girar os seguintes segredos:This document contains the procedure for rotating the following secrets:

  • Chaves de criptografia usadas no serviço Azure App no Hub Azure Stack.Encryption keys used within Azure App Service on Azure Stack Hub.
  • Credenciais de conexão de banco de dados usadas pelo serviço Azure App no Hub Azure Stack para interagir com os bancos de dados de hospedagem e medição.Database connection credentials used by Azure App Service on Azure Stack Hub to interact with the hosting and metering databases.
  • Certificados usados pelo serviço Azure App no Hub Azure Stack para proteger pontos de extremidade e a rotação de certificados de aplicativos de identidade no Azure Active Directory (Azure AD) ou Serviços de Federação do Active Directory (AD FS) (AD FS).Certificates used by Azure App Service on Azure Stack Hub to secure endpoints and rotation of identity application certificates in Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS).
  • Credenciais do sistema para Azure App serviço em funções de infraestrutura de Azure Stack Hub.System credentials for Azure App Service on Azure Stack Hub infrastructure roles.

Girar chaves de criptografiaRotate encryption keys

Para girar as chaves de criptografia usadas no serviço Azure App no Hub Azure Stack, execute as seguintes etapas:To rotate the encryption keys used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Vá para a experiência de administração do serviço de aplicativo no portal do administrador do hub de Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá para a opção de menu segredos .Go to the Secrets menu option.

  3. Selecione o botão girar na seção chaves de criptografia.Select the Rotate button in the Encryption Keys section.

  4. Selecione OK para iniciar o procedimento de rotação.Select OK to start the rotation procedure.

  5. As chaves de criptografia são giradas e todas as instâncias de função são atualizadas.The encryption keys are rotated and all role instances are updated. Os operadores podem verificar o status do procedimento usando o botão status .Operators can check the status of the procedure using the Status button.

Girar cadeias de conexãoRotate connection strings

Para atualizar as credenciais para a cadeia de conexão de banco de dados para os dados de hospedagem e medição do serviço de aplicativo, execute as seguintes etapas:To update the credentials for the database connection string for the App Service hosting and metering databases, take the following steps:

  1. Vá para a experiência de administração do serviço de aplicativo no portal do administrador do hub de Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá para a opção de menu segredos .Go to the Secrets menu option.

  3. Selecione o botão girar na seção cadeias de conexão.Select the Rotate button in the Connection Strings section.

  4. Forneça o nome de usuário e a senha do SQL SA e selecione OK para iniciar o procedimento de rotação.Provide the SQL SA Username and Password and select OK to start the rotation procedure.

  5. As credenciais são giradas em todas as instâncias de função de serviço Azure App.The credentials are rotated throughout the Azure App Service role instances. Os operadores podem verificar o status do procedimento usando o botão status .Operators can check the status of the procedure using the Status button.

Girar certificadosRotate certificates

Para girar os certificados usados no serviço Azure App no Hub Azure Stack, execute as seguintes etapas:To rotate the certificates used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Vá para a experiência de administração do serviço de aplicativo no portal do administrador do hub de Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá para a opção de menu segredos .Go to the Secrets menu option.

  3. Selecione o botão girar na seção certificadosSelect the Rotate button in the Certificates section

  4. Forneça o arquivo de certificado e a senha associada para os certificados que você deseja girar e selecione OK.Provide the certificate file and associated password for the certificates you wish to rotate and select OK.

  5. Os certificados são girados conforme necessário em todo o serviço de Azure App em instâncias de função de Hub Azure Stack.The certificates are rotated as required throughout the Azure App Service on Azure Stack Hub role instances. Os operadores podem verificar o status do procedimento usando o botão status .Operators can check the status of the procedure using the Status button.

Quando o certificado do aplicativo de identidade é girado, o aplicativo correspondente no Azure AD ou AD FS também deve ser atualizado com o novo certificado.When the identity application certificate is rotated, the corresponding app in Azure AD or AD FS must also be updated with the new certificate.

Importante

Falha ao atualizar o aplicativo de identidade com o novo certificado após a rotação interromperá a experiência do portal do usuário para Azure Functions, impedir que os usuários possam usar as ferramentas de desenvolvedor do KUDU e impedir que os administradores gerenciem conjuntos de escala de camada de trabalho da experiência de administração do serviço de aplicativo.Failure to update the identity application with the new certificate after rotation will break the user portal experience for Azure Functions, prevent users from being able to use the KUDU developer tools, and prevent admins from managing worker tier scale sets from the App Service administration experience.

Girar a credencial para o aplicativo de identidade do Azure ADRotate credential for the Azure AD identity application

O aplicativo de identidade é criado pelo operador antes da implantação do serviço de Azure App no Hub Azure Stack.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. Se a ID do aplicativo for desconhecida, siga estas etapas para descobri-la:If the application ID is unknown, follow these steps to discover it:

  1. Vá para o portal do administrador do hub de Azure Stack.Go to the Azure Stack Hub administrator portal.

  2. Vá para assinaturas e selecione assinatura do provedor padrão.Go to Subscriptions and select Default Provider Subscription.

  3. Selecione controle de acesso (iam) e selecione o aplicativo do serviço de aplicativo .Select Access Control (IAM) and select the App Service application.

  4. Anote a IDdo aplicativo, esse valor é a ID do aplicativo de identidade que deve ser atualizada no Azure AD.Take a note of the APP ID, this value is the application ID of the identity application that must be updated in Azure AD.

Para girar o certificado para o aplicativo no Azure AD, siga estas etapas:To rotate the certificate for the application in Azure AD, follow these steps:

  1. Vá para a portal do Azure e entre usando o administrador global usado para implantar o Hub Azure Stack.Go to the Azure portal and sign in using the Global Admin used to deploy Azure Stack Hub.

  2. Vá para Azure Active Directory e navegue até registros do aplicativo.Go to Azure Active Directory and browse to App Registrations.

  3. Procure a ID do aplicativoe ESPECIFIQUE a ID do aplicativo de identidade.Search for the Application ID, then specify the identity Application ID.

  4. Selecione o aplicativo e vá para certificados & segredos.Select the application and then go to Certificates & Secrets.

  5. Selecione carregar certificado e carregue o novo certificado para o aplicativo de identidade com um dos seguintes tipos de arquivo:. cer,. PEM,. CRT.Select Upload certificate and upload the new certificate for the identity application with one of the following file types: .cer, .pem, .crt.

  6. Confirme as correspondências de impressão digital listadas na experiência de administração do serviço de aplicativo no portal do administrador do Hub de Azure Stack.Confirm the thumbprint matches that listed in the App Service administration experience in the Azure Stack Hub administrator portal.

  7. Exclua o certificado antigo.Delete the old certificate.

Girar certificado para o aplicativo de identidade de AD FSRotate certificate for AD FS identity application

O aplicativo de identidade é criado pelo operador antes da implantação do serviço de Azure App no Hub Azure Stack.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. Se a ID de objeto do aplicativo for desconhecida, siga estas etapas para descobri-la:If the application's object ID is unknown, follow these steps to discover it:

  1. Vá para o portal do administrador do hub de Azure Stack.Go to the Azure Stack Hub administrator portal.

  2. Vá para assinaturas e selecione assinatura do provedor padrão.Go to Subscriptions and select Default Provider Subscription.

  3. Selecione controle de acesso (iam) e selecione o AzureStack-AppService - Application.Select Access Control (IAM) and select the AzureStack-AppService- application.

  4. Anote a ID do objeto, esse valor é a ID da entidade de serviço que deve ser atualizada no AD FS.Take a note of the Object ID, this value is the ID of the Service Principal that must be updated in AD FS.

Para girar o certificado para o aplicativo no AD FS, você precisa ter acesso ao ponto de extremidade privilegiado (PEP).To rotate the certificate for the application in AD FS, you need to have access to the privileged endpoint (PEP). Em seguida, você atualiza a credencial do certificado usando o PowerShell, substituindo seus próprios valores pelos espaços reservados a seguir:Then you update the certificate credential using PowerShell, replacing your own values for the following placeholders:

Espaço reservadoPlaceholder DescriçãoDescription ExemploExample
<PepVM> O nome da VM de ponto de extremidade privilegiada em sua instância de Hub de Azure Stack.The name of the privileged endpoint VM on your Azure Stack Hub instance. "AzS-ERCS01""AzS-ERCS01"
<CertificateFileLocation> O local do seu certificado X509 no disco.The location of your X509 certificate on disk. "d:\certs\sso.cer""d:\certs\sso.cer"
<ApplicationObjectId> O identificador atribuído ao aplicativo de identidade.The identifier assigned to the identity application. "S-1-5-21-401916501-2345862468-1451220656-1451""S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Abra uma sessão do Windows PowerShell com privilégios elevados e execute o seguinte script:Open an elevated Windows PowerShell session and run the following script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Depois que o script for concluído, ele exibirá as informações de registro do aplicativo atualizado, incluindo o valor de impressão digital do certificado.After the script finishes, it displays the updated app registration info, including the thumbprint value for the certificate.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Girar credenciais do sistemaRotate system credentials

Para girar as credenciais do sistema usadas no serviço Azure App no Hub Azure Stack, execute as seguintes etapas:To rotate the system credentials used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Vá para a experiência de administração do serviço de aplicativo no portal do administrador do hub de Azure Stack.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá para a opção de menu segredos .Go to the Secrets menu option.

  3. Selecione o botão girar na seção credenciais do sistema.Select the Rotate button in the System Credentials section.

  4. Selecione o escopo da credencial do sistema que você está girando.Select the Scope of the System Credential you're rotating. Os operadores podem optar por girar as credenciais do sistema para todas as funções ou funções individuais.Operators can choose to rotate the system credentials for all roles or individual roles.

  5. Especifique um novo nome de usuário de administrador local e uma nova senha.Specify a new Local Admin User Name and a new Password. Em seguida, confirme a senha e selecione OK.Then confirm the Password and select OK.

  6. As credenciais são giradas conforme necessário em todo o serviço de Azure App correspondente na instância de função de Hub Azure Stack.The credential(s) are rotated as required throughout the corresponding Azure App Service on Azure Stack Hub role instance. Os operadores podem verificar o status do procedimento usando o botão status .Operators can check the status of the procedure using the Status button.