Fazer rotação do Serviço de Aplicativo em certificados e segredos do Azure Stack Hub

  • Artigo

Essas instruções se aplicam apenas a Serviço de Aplicativo do Azure no Azure Stack Hub. A rotação dos segredos do Serviço de Aplicativo do Azure no Azure Stack Hub não está incluída no procedimento de rotação de segredo centralizado para Azure Stack Hub. Os operadores podem monitorar a validade dos segredos no sistema, a data em que foram atualizados pela última vez e o tempo restante até que os segredos expirem.

Importante

Os operadores não receberão alertas para expiração do segredo no painel do Azure Stack Hub, pois o Serviço de Aplicativo do Azure no Azure Stack Hub não está integrado ao serviço de alerta do Azure Stack Hub. Os operadores devem monitorar regularmente seus segredos usando a experiência de administração do Serviço de Aplicativo do Azure no Azure Stack Hub no portal do administrador do Azure Stack Hub.

Este documento contém o procedimento para girar os seguintes segredos:

  • Chaves de criptografia usadas no Serviço de Aplicativo do Azure no Azure Stack Hub.
  • Credenciais de conexão do banco de dados usadas pelo Serviço de Aplicativo do Azure no Azure Stack Hub para interagir com os bancos de dados de hospedagem e medição.
  • Certificados usados pelo Serviço de Aplicativo do Azure no Azure Stack Hub para proteger pontos de extremidade e rotação de certificados de aplicativo de identidade em Microsoft Entra ID ou Serviços de Federação do Active Directory (AD FS) (AD FS).
  • Credenciais do sistema para Serviço de Aplicativo do Azure nas funções de infraestrutura do Azure Stack Hub.

Rotação de chaves de criptografia

Para girar as chaves de criptografia usadas no Serviço de Aplicativo do Azure no Azure Stack Hub, execute as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.

  2. Vá para a opção do menu Segredos.

  3. Selecione o botão Girar na seção Chaves de Criptografia.

  4. Selecione OK para iniciar o procedimento de rotação.

  5. As chaves de criptografia são giradas e todas as instâncias de função são atualizadas. Os operadores podem verificar o status do procedimento usando o botão Status.

Girar cadeias de conexão

Para atualizar as credenciais da cadeia de conexão do banco de dados para os bancos de dados de medição e hospedagem do Serviço de Aplicativo, execute as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.

  2. Vá para a opção do menu Segredos.

  3. Selecione o botão Girar na seção Cadeias de Conexão.

  4. Forneça o Nome de usuário do SQL do SA e a Senha e selecione OK para iniciar o procedimento de rotação.

  5. As credenciais são giradas em todas as instâncias de função do Serviço de Aplicativo do Azure. Os operadores podem verificar o status do procedimento usando o botão Status.

Girar certificados

Para girar os certificados usados no Serviço de Aplicativo do Azure no Azure Stack Hub, execute as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.

  2. Vá para a opção do menu Segredos.

  3. Selecione o botão Girar na seção Certificados

  4. Forneça o arquivo de certificado e a senha associada para os certificados que você deseja girar e selecione OK.

  5. Os certificados são girados conforme necessário em todas as instâncias de função do Serviço de Aplicativo do Azure no Azure Stack Hub. Os operadores podem verificar o status do procedimento usando o botão Status.

Quando o certificado do aplicativo de identidade é girado, o aplicativo correspondente no Microsoft Entra ID ou no AD FS também deve ser atualizado com o novo certificado.

Importante

Uma falha ao atualizar o aplicativo de identidade com o novo certificado após a rotação interromperá a experiência do portal do usuário do Azure Functions, impedirá que os usuários possam usar as ferramentas de desenvolvedor do KUDU e impedirá que os administradores gerenciem os conjuntos de escala de camada de trabalho serviço da experiência de administração do Serviço de Aplicativo.

Girar a credencial para o aplicativo de identidade Microsoft Entra

O aplicativo de identidade é criado pelo operador antes da implantação do Serviço de Aplicativo do Azure no Azure Stack Hub. Se a ID do aplicativo for desconhecida, siga estas etapas para descobri-la:

  1. Vá para o portal do administrador do Azure Stack Hub.

  2. Acesse Assinaturas e selecione Assinatura do Provedor Padrão.

  3. Selecione IAM (Controle de Acesso) e selecione o aplicativo do Serviço de Aplicativo.

  4. Anote a ID do APLICATIVO, esse valor é a ID do aplicativo de identidade que deve ser atualizada em Microsoft Entra ID.

Para girar o certificado para o aplicativo em Microsoft Entra ID, siga estas etapas:

  1. Vá para o portal do Azure e entre usando o Administrador Global usado para implantar o Azure Stack Hub.

  2. Acesse Microsoft Entra ID e navegue até Registros de Aplicativo.

  3. Pesquise a ID do Aplicativo e especifique a ID do aplicativo de identidade.

  4. Selecione o aplicativo e vá para Certificados & Segredos.

  5. Selecione Carregar certificado e carregue o novo certificado para o aplicativo de identidade com um dos seguintes tipos de arquivo: .cer, .pem, .crt.

  6. Confirme se a impressão digital corresponde àquela listada na experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.

  7. Exclua o certificado antigo.

Girar certificado para o aplicativo de identidade do AD FS

O aplicativo de identidade é criado pelo operador antes da implantação do Serviço de Aplicativo do Azure no Azure Stack Hub. Se a ID do objeto for desconhecida, siga estas etapas para descobri-la:

  1. Vá para o portal do administrador do Azure Stack Hub.

  2. Acesse Assinaturas e selecione Assinatura do Provedor Padrão.

  3. Selecione Controle de Acesso (IAM) e selecione o aplicativo AzureStack-AppService-guid<>.

  4. Anote a ID do Objeto. Esse valor é a ID da Entidade de Serviço que deve ser atualizada no AD FS.

Para girar o certificado para o aplicativo no AD FS, você precisará ter acesso ao PEP (ponto de extremidade privilegiado). Você atualiza a credencial do certificado usando o PowerShell, substituindo seus próprios valores pelos seguintes espaços reservados:

Espaço reservado Descrição Exemplo
<PepVM> O nome da VM de ponto de extremidade com privilégios em sua instância do Azure Stack Hub. "AzS-ERCS01"
<CertificateFileLocation> O local do seu certificado X509 no disco. "d:\certs\sso.cer"
<ApplicationObjectId> O identificador atribuído ao aplicativo de identidade. "S-1-5-21-401916501-2345862468-1451220656-1451"

  1. Abra uma sessão com privilégio elevado do PowerShell no Windows e execute o seguinte script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. Depois que o script for concluído, ele exibirá as informações de registro do aplicativo atualizado, incluindo o valor de impressão digital do certificado.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Girar credenciais do sistema

Para girar as credenciais usadas no Serviço de Aplicativo do Azure no Azure Stack Hub, execute as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal do administrador do Azure Stack Hub.

  2. Vá para a opção do menu Segredos.

  3. Selecione o botão Girar na seção Credenciais do Sistema.

  4. Selecione o Escopo da Credencial do Sistema que você está girando. Os operadores podem optar por girar as credenciais do sistema para todas as funções ou funções individuais.

  5. Especifique um novo Nome de Usuário Administrador Local e uma nova Senha. Confirme a Senha e selecione OK.

  6. As credenciais são giradas conforme necessário em todo o Serviço de Aplicativo do Azure correspondente na instância da função do Azure Stack Hub. Os operadores podem verificar o status do procedimento usando o botão Status.