Serviço de aplicações rotativa em segredos e certificados do Hub de Stack AzureRotate App Service on Azure Stack Hub secrets and certificates

Estas instruções aplicam-se apenas ao Serviço de Aplicações Azure no Azure Stack Hub.These instructions only apply to Azure App Service on Azure Stack Hub. A rotação do Serviço de Aplicações Azure nos segredos do Azure Stack Hub não está incluída no procedimento centralizado de rotação secreta para o Azure Stack Hub.Rotation of Azure App Service on Azure Stack Hub secrets is not included in the centralized secret rotation procedure for Azure Stack Hub. Os operadores podem monitorizar a validade dos segredos dentro do sistema, a data em que foram atualizados pela última vez, e o tempo restante até que os segredos expirem.Operators can monitor the validity of secrets within the system, the date on which they were last updated, and the time remaining until the secrets expire.

Importante

Os operadores não receberão alertas para a expiração secreta no painel de instrumentos do Azure Stack Hub, uma vez que o Azure App Service no Azure Stack Hub não está integrado com o serviço de alerta Azure Stack Hub.Operators won't receive alerts for secret expiration on the Azure Stack Hub dashboard as Azure App Service on Azure Stack Hub is not integrated with the Azure Stack Hub alerting service. Os operadores devem monitorizar regularmente os seus segredos utilizando o Serviço de Aplicações Azure na experiência de administração do Azure Stack Hub no portal de administrador do Azure Stack Hub.Operators must regularly monitor their secrets using the Azure App Service on Azure Stack Hub administration experience in the Azure Stack Hub administrator portal.

Este documento contém o procedimento para rodar os seguintes segredos:This document contains the procedure for rotating the following secrets:

  • Chaves de encriptação utilizadas no Serviço de Aplicações Azure no Azure Stack Hub.Encryption keys used within Azure App Service on Azure Stack Hub.
  • Credenciais de ligação à base de dados utilizadas pelo Azure App Service no Azure Stack Hub para interagir com as bases de dados de hospedagem e medição.Database connection credentials used by Azure App Service on Azure Stack Hub to interact with the hosting and metering databases.
  • Certificados utilizados pelo Azure App Service no Azure Stack Hub para garantir pontos finais e rotação de certificados de aplicação de identidade em Azure Ative Directory (Azure AD) ou Ative Directory Federation Services (AD FS).Certificates used by Azure App Service on Azure Stack Hub to secure endpoints and rotation of identity application certificates in Azure Active Directory (Azure AD) or Active Directory Federation Services (AD FS).
  • Credenciais de sistema para o Serviço de Aplicações Azure nas funções de infraestrutura do Azure Stack Hub.System credentials for Azure App Service on Azure Stack Hub infrastructure roles.

Teclas de encriptação rotativasRotate encryption keys

Para rodar as chaves de encriptação utilizadas no Azure App Service no Azure Stack Hub, tome os seguintes passos:To rotate the encryption keys used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Vá à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá à opção do menu Secrets.Go to the Secrets menu option.

  3. Selecione o botão Rotate na secção Chaves de Encriptação.Select the Rotate button in the Encryption Keys section.

  4. Selecione OK para iniciar o procedimento de rotação.Select OK to start the rotation procedure.

  5. As chaves de encriptação são giradas e todas as instâncias de função são atualizadas.The encryption keys are rotated and all role instances are updated. Os operadores podem verificar o estado do procedimento utilizando o botão 'Status'.Operators can check the status of the procedure using the Status button.

Cordas de ligação rotativasRotate connection strings

Para atualizar as credenciais para a cadeia de ligação à base de dados para as bases de dados de hospedagem e medição do Serviço de Aplicações, tome as seguintes medidas:To update the credentials for the database connection string for the App Service hosting and metering databases, take the following steps:

  1. Vá à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá à opção do menu Secrets.Go to the Secrets menu option.

  3. Selecione o botão Rotação na secção De ligação.Select the Rotate button in the Connection Strings section.

  4. Forneça o nome de utilizador e palavra-passe SQL SA e selecione OK para iniciar o procedimento de rotação.Provide the SQL SA Username and Password and select OK to start the rotation procedure.

  5. As credenciais são giradas em todas as instâncias de função do Serviço de Aplicações Azure.The credentials are rotated throughout the Azure App Service role instances. Os operadores podem verificar o estado do procedimento utilizando o botão 'Status'.Operators can check the status of the procedure using the Status button.

Rodar certificadosRotate certificates

Para rodar os certificados utilizados no Azure App Service no Azure Stack Hub, tome os seguintes passos:To rotate the certificates used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Vá à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá à opção do menu Secrets.Go to the Secrets menu option.

  3. Selecione o botão Rotate na secção CertificadosSelect the Rotate button in the Certificates section

  4. Forneça o ficheiro de certificado e a palavra-passe associada para os certificados que pretende rodar e selecionar OK.Provide the certificate file and associated password for the certificates you wish to rotate and select OK.

  5. Os certificados são rodados conforme necessário em todo o Serviço de Aplicações Azure em instâncias de função Azure Stack Hub.The certificates are rotated as required throughout the Azure App Service on Azure Stack Hub role instances. Os operadores podem verificar o estado do procedimento utilizando o botão 'Status'.Operators can check the status of the procedure using the Status button.

Quando o certificado de pedido de identidade estiver rotativo, a aplicação correspondente em Azure AD ou AD FS também deve ser atualizada com o novo certificado.When the identity application certificate is rotated, the corresponding app in Azure AD or AD FS must also be updated with the new certificate.

Importante

A não atualização da aplicação de identidade com o novo certificado após a rotação irá quebrar a experiência do portal do utilizador para as Funções Azure, impedir que os utilizadores possam utilizar as ferramentas de desenvolvimento kudu e impedir que os administradores gerem conjuntos de escala de nível de trabalhador da experiência de administração do Serviço de Aplicações.Failure to update the identity application with the new certificate after rotation will break the user portal experience for Azure Functions, prevent users from being able to use the KUDU developer tools, and prevent admins from managing worker tier scale sets from the App Service administration experience.

Rotat a credencial para a aplicação de identidade Azure ADRotate credential for the Azure AD identity application

A aplicação de identidade é criada pelo operador antes da implementação do Azure App Service no Azure Stack Hub.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. Se o ID da aplicação for desconhecido, siga estes passos para descobri-lo:If the application ID is unknown, follow these steps to discover it:

  1. Vá ao portal de administrador do Azure Stack Hub.Go to the Azure Stack Hub administrator portal.

  2. Vá a Subscrições e selecione Subscrição do Fornecedor Padrão.Go to Subscriptions and select Default Provider Subscription.

  3. Selecione Control de Acesso (IAM) e selecione a aplicação do Serviço de Aplicações.Select Access Control (IAM) and select the App Service application.

  4. Tome nota do ID da APP, este valor é o ID de aplicação da aplicação de identidade que deve ser atualizado em Azure AD.Take a note of the APP ID, this value is the application ID of the identity application that must be updated in Azure AD.

Para rodar o certificado para a aplicação em Azure AD, siga estes passos:To rotate the certificate for the application in Azure AD, follow these steps:

  1. Vá ao portal Azure e assine usando o Administrador Global usado para implantar o Azure Stack Hub.Go to the Azure portal and sign in using the Global Admin used to deploy Azure Stack Hub.

  2. Vá ao Diretório Ativo Azure e navegue para as inscrições de aplicações.Go to Azure Active Directory and browse to App Registrations.

  3. Procure o ID da Aplicaçãoe, em seguida, especifique o ID da aplicação de identidade.Search for the Application ID, then specify the identity Application ID.

  4. Selecione o pedido e, em seguida, vá a Certificados & Segredos.Select the application and then go to Certificates & Secrets.

  5. Selecione o certificado de upload e faça o upload do novo certificado para a aplicação de identidade com um dos seguintes tipos de ficheiros: .cer, .pem, .crt.Select Upload certificate and upload the new certificate for the identity application with one of the following file types: .cer, .pem, .crt.

  6. Confirme os correspondes à impressão digital que consta da experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.Confirm the thumbprint matches that listed in the App Service administration experience in the Azure Stack Hub administrator portal.

  7. Eliminar o certificado antigo.Delete the old certificate.

Certificado rotativo para aplicação de identidade AD FSRotate certificate for AD FS identity application

A aplicação de identidade é criada pelo operador antes da implementação do Azure App Service no Azure Stack Hub.The identity application is created by the operator before deployment of Azure App Service on Azure Stack Hub. Se o ID do objeto da aplicação for desconhecido, siga estes passos para descobri-lo:If the application's object ID is unknown, follow these steps to discover it:

  1. Vá ao portal de administrador do Azure Stack Hub.Go to the Azure Stack Hub administrator portal.

  2. Vá a Subscrições e selecione Subscrição do Fornecedor Padrão.Go to Subscriptions and select Default Provider Subscription.

  3. Selecione Control de Acesso (IAM) e selecione a aplicação ** AzureStack-AppService-**Select Access Control (IAM) and select the AzureStack-AppService- application.

  4. Tome nota do ID do Objeto, este valor é o ID do Diretor de Serviço que deve ser atualizado em AD FS.Take a note of the Object ID, this value is the ID of the Service Principal that must be updated in AD FS.

Para rodar o certificado para a aplicação em AD FS, é necessário ter acesso ao ponto final privilegiado (PEP).To rotate the certificate for the application in AD FS, you need to have access to the privileged endpoint (PEP). Em seguida, atualiza a credencial do certificado utilizando a PowerShell, substituindo os seus próprios valores pelos seguintes espaços reservados:Then you update the certificate credential using PowerShell, replacing your own values for the following placeholders:

Marcador de posiçãoPlaceholder DescriçãoDescription ExemploExample
<PepVM> O nome do privilegiado VM endpoint na sua instância Azure Stack Hub.The name of the privileged endpoint VM on your Azure Stack Hub instance. "AzS-ERCS01""AzS-ERCS01"
<CertificateFileLocation> A localização do seu certificado X509 no disco.The location of your X509 certificate on disk. "d:\certs\sso.cer""d:\certs\sso.cer"
<ApplicationObjectId> O identificador designado para o pedido de identidade.The identifier assigned to the identity application. "S-1-5-21-401916501-2345862468-145120656-1451""S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Abra uma sessão elevada do Windows PowerShell e execute o seguinte script:Open an elevated Windows PowerShell session and run the following script:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Após o acabamento do script, exibe as informações atualizadas de registo da aplicação, incluindo o valor de impressão digital para o certificado.After the script finishes, it displays the updated app registration info, including the thumbprint value for the certificate.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Rotate credenciais do sistemaRotate system credentials

Para rodar as credenciais de sistema utilizadas no Azure App Service no Azure Stack Hub, tome os seguintes passos:To rotate the system credentials used within Azure App Service on Azure Stack Hub, take the following steps:

  1. Vá à experiência de administração do Serviço de Aplicações no portal de administrador do Azure Stack Hub.Go to the App Service administration experience in the Azure Stack Hub administrator portal.

  2. Vá à opção do menu Secrets.Go to the Secrets menu option.

  3. Selecione o botão Rotate na secção Credenciais do Sistema.Select the Rotate button in the System Credentials section.

  4. Selecione o Âmbito do Sistema Credencial que está a rodar.Select the Scope of the System Credential you're rotating. Os operadores podem optar por rodar as credenciais do sistema para todas as funções ou funções individuais.Operators can choose to rotate the system credentials for all roles or individual roles.

  5. Especifique um novo Nome de Utilizador do Administrador Local e uma nova palavra-passe.Specify a new Local Admin User Name and a new Password. Em seguida, confirme a Palavra-passe e selecione OK.Then confirm the Password and select OK.

  6. As credenciais são giradas conforme necessário em todo o serviço de aplicações azure correspondente na instância de função Azure Stack Hub.The credential(s) are rotated as required throughout the corresponding Azure App Service on Azure Stack Hub role instance. Os operadores podem verificar o estado do procedimento utilizando o botão 'Status'.Operators can check the status of the procedure using the Status button.