Rodar segredos e certificados do Serviço de Aplicações no Azure Stack Hub

Estas instruções aplicam-se apenas ao Serviço de Aplicações Azure no Azure Stack Hub. A rotação do Azure App Service em segredos do Azure Stack Hub não está incluída no procedimento de rotação secreta centralizado para o Azure Stack Hub. Os operadores podem monitorizar a validade dos segredos dentro do sistema, a data em que foram atualizados pela última vez, e o tempo restante até que os segredos expirem.

Importante

Os operadores não receberão alertas para a expiração secreta no painel de instrumentos Azure Stack Hub, uma vez que o Azure App Service no Azure Stack Hub não está integrado com o serviço de alerta Azure Stack Hub. Os operadores devem monitorizar regularmente os seus segredos utilizando o Serviço de Aplicações Azure na experiência de administração do Azure Stack Hub no portal de administrador do Azure Stack Hub.

Este documento contém o procedimento para a rotação dos seguintes segredos:

  • Chaves de encriptação utilizadas no Azure App Service no Azure Stack Hub.
  • Credenciais de ligação de base de dados utilizadas pelo Azure App Service no Azure Stack Hub para interagir com as bases de dados de hospedagem e medição.
  • Certificados utilizados pelo Azure App Service no Azure Stack Hub para garantir pontos finais e rotação de certificados de aplicação de identidade em Azure Ative Directory (Azure AD) ou Serviços da Federação de Diretórios Ativos (AD FS).
  • Credenciais de sistema para O Serviço de Aplicações Azure em funções de infraestrutura do Azure Stack Hub.

Rode as teclas de encriptação

Para rodar as chaves de encriptação utilizadas no Azure App Service no Azure Stack Hub, tome os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administradores Azure Stack Hub.

  2. Vá para a opção menu Segredos.

  3. Selecione o botão Rotate na secção Chaves de Encriptação.

  4. Selecione OK para iniciar o procedimento de rotação.

  5. As chaves de encriptação são giradas e todas as instâncias de função são atualizadas. Os operadores podem verificar o estado do procedimento utilizando o botão 'Estado'.

Rode as cordas de ligação

Para atualizar as credenciais para a cadeia de ligação da base de dados para as bases de dados de hospedagem e medição do Serviço de Aplicações, tome as seguintes medidas:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administradores Azure Stack Hub.

  2. Vá para a opção menu Segredos.

  3. Selecione o botão Rotate na secção Cordas de Ligação.

  4. Forneça o SQL nome de utilizador e palavra-passe SA e selecione OK para iniciar o procedimento de rotação.

  5. As credenciais são giradas em todas as instâncias de função do Azure App Service. Os operadores podem verificar o estado do procedimento utilizando o botão 'Estado'.

Rodar certificados

Para rodar os certificados utilizados no Azure App Service no Azure Stack Hub, tome os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administradores Azure Stack Hub.

  2. Vá para a opção menu Segredos.

  3. Selecione o botão Rotate na secção Certificados

  4. Forneça o ficheiro de certificado e a palavra-passe associada para os certificados que pretende rodar e selecione OK.

  5. Os certificados são rodados conforme necessário em todo o Serviço de Aplicações Azure em instâncias de função Azure Stack Hub. Os operadores podem verificar o estado do procedimento utilizando o botão 'Estado'.

Quando o certificado de pedido de identidade é rotativo, a aplicação correspondente em Azure AD ou AD FS também deve ser atualizada com o novo certificado.

Importante

A não atualização da aplicação de identidade com o novo certificado após a rotação irá quebrar a experiência do portal do utilizador para funções Azure, impedir que os utilizadores possam utilizar as ferramentas de desenvolvimento da KUDU e impedir que os administradores gerem conjuntos de escala de nível de trabalhador a partir da experiência da administração do App Service.

Credencial rotativa para o pedido de identidade Azure AD

A aplicação de identidade é criada pelo operador antes da implementação do Azure App Service no Azure Stack Hub. Se o ID da aplicação for desconhecido, siga estes passos para descobrir:

  1. Aceda ao portal de administrador do Azure Stack Hub.

  2. Aceda a Subscrições e selecione Subscrição de Fornecedor Predefinido.

  3. Selecione Access Control (IAM) e selecione a aplicação Serviço de Aplicações.

  4. Tome nota do ID da APP,este valor é o ID de aplicação da aplicação de identidade que deve ser atualizado em Azure AD.

Para rodar o certificado para o pedido em Azure AD, siga estes passos:

  1. Vá ao portal Azure e inscreva-se usando o Administrador Global usado para implantar o Azure Stack Hub.

  2. Vá a Azure Ative Directory e navegue para registos de aplicações.

  3. Procure o ID do formulário de aplicação,em seguida, especifique o ID de identificação de identidade.

  4. Selecione a aplicação e, em seguida, vá para Certificados Segredos.

  5. Selecione o certificado de upload e faça o upload do novo certificado para o pedido de identidade com um dos seguintes tipos de ficheiros: .cer, .pem, .crt.

  6. Confirme as correspondências de impressão digital listadas na experiência de administração do Serviço de Aplicações no portal do administrador do Azure Stack Hub.

  7. Eliminar o certificado antigo.

Certificado de rotação para pedido de identidade AD FS

A aplicação de identidade é criada pelo operador antes da implementação do Azure App Service no Azure Stack Hub. Se o ID do objeto da aplicação for desconhecido, siga estes passos para descobrir:

  1. Aceda ao portal de administrador do Azure Stack Hub.

  2. Aceda a Subscrições e selecione Subscrição de Fornecedor Predefinido.

  3. Selecione Access Control (IAM) e selecione a aplicação AzureStack-AppService-guid.

  4. Tome nota do ID do objeto,este valor é o ID do Diretor de Serviço que deve ser atualizado em FS AD.

Para rodar o certificado para o pedido em AD FS, é necessário ter acesso ao ponto final privilegiado (PEP). Em seguida, atualiza a credencial de certificado utilizando o PowerShell, substituindo os seus próprios valores pelos seguintes espaços reservados:

Marcador de posição Descrição Exemplo
<PepVM> O nome do VM de ponta privilegiado na sua instância Azure Stack Hub. "Azs-ERCS01"
<CertificateFileLocation> A localização do seu certificado X509 no disco. "d:\certs\sso.cer"
<ApplicationObjectId> O identificador atribuído ao pedido de identidade. "S-1-5-21-401916501-2345862468-1451220656-1451"
  1. Abra uma sessão de Windows PowerShell elevada e execute o seguinte roteiro:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
    $Creds = Get-Credential
    
    # Create a new Certificate object from the identity application certificate exported as .cer file
    $Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")
    
    # Create a new PSSession to the PrivelegedEndpoint VM
    $Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
    $SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
    $Session | Remove-PSSession
    
    # Output the updated service principal details
    $SpObject
    
    
  2. Após o final do script, apresenta a informação atualizada do registo da aplicação, incluindo o valor de impressão digital para o certificado.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
    ClientId              : 
    Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
    ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
    ClientSecret          : 
    PSComputerName        : AzS-ERCS01
    RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510
    

Girar credenciais do sistema

Para rodar as credenciais de sistema utilizadas no Azure App Service no Azure Stack Hub, tome os seguintes passos:

  1. Aceda à experiência de administração do Serviço de Aplicações no portal de administradores Azure Stack Hub.

  2. Vá para a opção menu Segredos.

  3. Selecione o botão Rotate na secção Credenciais de Sistema.

  4. Selecione o Âmbito da Credencial do Sistema que está a rodar. Os operadores podem optar por rodar as credenciais do sistema para todas as funções ou funções individuais.

  5. Especifique um novo nome de utilizador de administrador local e uma nova palavra-passe. Em seguida, confirme a Palavra-passe e selecione OK.

  6. A credencial(s) é rodada conforme necessário em todo o correspondente Azure App Service em Azure Stack Hub. Os operadores podem verificar o estado do procedimento utilizando o botão 'Estado'.