Fazer rotação do Serviço de Aplicativo em certificados e segredos do Azure Stack Hub

Essas instruções se aplicam somente Serviço de Aplicativo do Azure no Azure Stack Hub. A rotação Serviço de Aplicativo do Azure em Azure Stack Hub segredos não está incluída no procedimento de rotação de segredo centralizado para Azure Stack Hub. Os operadores podem monitorar a validade dos segredos no sistema, a data em que foram atualizados pela última vez e o tempo restante até que os segredos expirem.

Importante

Os operadores não receberão alertas para expiração de segredo no painel Azure Stack Hub, pois Serviço de Aplicativo do Azure no Azure Stack Hub não está integrado ao serviço Azure Stack Hub de alertas. Os operadores devem monitorar regularmente seus segredos usando Serviço de Aplicativo do Azure experiência Azure Stack Hub administração no portal Azure Stack Hub administrador.

Este documento contém o procedimento para girar os seguintes segredos:

  • Chaves de criptografia usadas Serviço de Aplicativo do Azure no Azure Stack Hub.
  • Credenciais de conexão de banco de dados usadas Serviço de Aplicativo do Azure no Azure Stack Hub para interagir com os bancos de dados de hospedagem e medição.
  • Certificados usados pelo Serviço de Aplicativo do Azure no Azure Stack Hub para proteger pontos de extremidade e rotação de certificados de aplicativo de identidade no Azure Active Directory (Azure AD) ou Serviços de Federação do Active Directory (AD FS) (AD FS).
  • Credenciais do sistema para Serviço de Aplicativo do Azure em Azure Stack Hub de infraestrutura.

Girar chaves de criptografia

Para girar as chaves de criptografia usadas Serviço de Aplicativo do Azure no Azure Stack Hub, tome as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal Azure Stack Hub administrador.

  2. Vá para a opção de menu Segredos.

  3. Selecione o botão Girar na seção Chaves de Criptografia.

  4. Selecione OK para iniciar o procedimento de rotação.

  5. As chaves de criptografia são giradas e todas as instâncias de função são atualizadas. Os operadores podem verificar o status do procedimento usando o botão Status.

Girar cadeias de conexão

Para atualizar as credenciais da cadeia de conexão de banco de dados para os bancos de dados de medição e hospedagem do Serviço de Aplicativo, tome as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal Azure Stack Hub administrador.

  2. Vá para a opção de menu Segredos.

  3. Selecione o botão Girar na seção Cadeias de Conexão.

  4. Forneça o nome SQL nome de usuário esenha do SA e selecione OK para iniciar o procedimento de rotação.

  5. As credenciais são giradas em todas as instâncias Serviço de Aplicativo do Azure de função. Os operadores podem verificar o status do procedimento usando o botão Status.

Girar certificados

Para girar os certificados usados em Serviço de Aplicativo do Azure no Azure Stack Hub, tome as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal Azure Stack Hub administrador.

  2. Vá para a opção de menu Segredos.

  3. Selecione o botão Girar na seção Certificados

  4. Forneça o arquivo de certificado e a senha associada para os certificados que você deseja girar e selecione OK.

  5. Os certificados são girados conforme necessário em todo o Serviço de Aplicativo do Azure em Azure Stack Hub instâncias de função. Os operadores podem verificar o status do procedimento usando o botão Status.

Quando o certificado do aplicativo de identidade é girado, o aplicativo correspondente no Azure AD ou AD FS também deve ser atualizado com o novo certificado.

Importante

A falha ao atualizar o aplicativo de identidade com o novo certificado após a rotação quebrará a experiência do portal do usuário para Azure Functions, impedirá que os usuários usem as ferramentas de desenvolvedor kudu e impedirá que os administradores gerenciem conjuntos de dimensionamento da camada de trabalho da experiência de administração do Serviço de Aplicativo.

Girar credencial para o aplicativo de identidade do Azure AD

O aplicativo de identidade é criado pelo operador antes da implantação do Serviço de Aplicativo do Azure no Azure Stack Hub. Se a ID do aplicativo for desconhecida, siga estas etapas para descobri-la:

  1. Vá para o portal Azure Stack Hub administrador.

  2. Acesse Assinaturas e selecione Assinatura do Provedor Padrão.

  3. Selecione Controle de Acesso (IAM) e selecione o aplicativo do Serviço de Aplicativo.

  4. Anote a ID do APLICATIVO, esse valor é a ID do aplicativo de identidade que deve ser atualizada no Azure AD.

Para girar o certificado para o aplicativo no Azure AD, siga estas etapas:

  1. Vá para o portal do Azure e entre usando o Administrador Global usado para implantar Azure Stack Hub.

  2. Vá para Azure Active Directory e navegue até Registros de Aplicativo.

  3. Pesquise a ID do Aplicativoe especifique a ID do aplicativo de identidade.

  4. Selecione o aplicativo e, em seguida, acesse Segredos de Certificados.

  5. Selecione Upload certificado e carregue o novo certificado para o aplicativo de identidade com um dos seguintes tipos de arquivo: .cer, .pem, .crt.

  6. Confirme as correspondeções de impressão digital listadas na experiência de administração do Serviço de Aplicativo no portal Azure Stack Hub administrador.

  7. Exclua o certificado antigo.

Girar o certificado para AD FS aplicativo de identidade

O aplicativo de identidade é criado pelo operador antes da implantação do Serviço de Aplicativo do Azure no Azure Stack Hub. Se a ID do objeto do aplicativo for desconhecida, siga estas etapas para descobri-la:

  1. Vá para o portal Azure Stack Hub administrador.

  2. Acesse Assinaturas e selecione Assinatura do Provedor Padrão.

  3. Selecione Controle de Acesso (IAM) e selecione o aplicativo guid AzureStack-AppService- .

  4. Anote a IDdo objeto , esse valor é a ID da Entidade de Serviço que deve ser atualizada AD FS.

Para girar o certificado para o aplicativo AD FS, você precisa ter acesso ao PEP (ponto de extremidade privilegiado). Em seguida, atualize a credencial de certificado usando o PowerShell, substituindo seus próprios valores pelos seguintes espaço reservados:

Espaço reservado Descrição Exemplo
<PepVM> O nome da VM de ponto de extremidade com privilégios em sua Azure Stack Hub instância. "AzS-ERCS01"
<CertificateFileLocation> O local do certificado X509 no disco. "d:\certs\sso.cer"
<ApplicationObjectId> O identificador atribuído ao aplicativo de identidade. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Abra uma sessão de Windows PowerShell elevada e execute o seguinte script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Depois que o script for finalizado, ele exibirá as informações de registro do aplicativo atualizadas, incluindo o valor da impressão digital do certificado.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Girar credenciais do sistema

Para girar as credenciais do sistema usadas Serviço de Aplicativo do Azure no Azure Stack Hub, tome as seguintes etapas:

  1. Acesse a experiência de administração do Serviço de Aplicativo no portal Azure Stack Hub administrador.

  2. Vá para a opção de menu Segredos.

  3. Selecione o botão Girar na seção Credenciais do Sistema.

  4. Selecione o Escopo da Credencial do Sistema que você está girando. Os operadores podem optar por girar as credenciais do sistema para todas as funções ou funções individuais.

  5. Especifique um novo Nome de Usuário administrador local e uma nova Senha. Em seguida, confirme a Senha e selecione OK.

  6. As credenciais são giradas conforme necessário em todo o Serviço de Aplicativo do Azure na Azure Stack Hub de função. Os operadores podem verificar o status do procedimento usando o botão Status.