Share via

Смена секретов и сертификатов Службы приложений в Azure Stack Hub

  • Статья

Эти инструкции применяются только к Службе приложений Azure в Azure Stack Hub. Смена секретов Службы приложений Azure в Azure Stack Hub не выполняется в рамках централизованной смены ключей для Azure Stack Hub. Операторы могут отслеживать допустимость секретов в системе, дату их обновления и время до истечения срока действия.

Важно!

Операторы не будут получать оповещения об истечении срока действия секрета через панель мониторинга Azure Stack Hub, так как Служба приложений Azure в Azure Stack Hub не интегрирована в службу оповещений Azure Stack Hub. Операторы должны регулярно отслеживать свои секреты в интерфейсе администрирования Службы приложений Azure в Azure Stack Hub на портале администраторов Azure Stack Hub.

Этот документ описывает процедуру смены следующих секретов:

  • ключи шифрования для Службы приложений Azure в Azure Stack Hub;
  • учетные данные подключения к базе данных, используемые Службой приложений Azure в Azure Stack Hub для взаимодействия с базами данных размещения и измерения;
  • Сертификаты, используемые Служба приложений Azure в Azure Stack Hub для защиты конечных точек и смены сертификатов приложений удостоверений в Microsoft Entra ID или службы федерации Active Directory (AD FS) (AD FS).
  • учетные данные ролей инфраструктуры для Службы приложений Azure в Azure Stack Hub.

Смена ключей шифрования

Чтобы сменить ключи шифрования для Службы приложений Azure в Azure Stack Hub, выполните следующие действия:

  1. Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.

  2. Перейдите к пункту меню Секреты.

  3. В разделе "Ключи шифрования" нажмите кнопку Сменить.

  4. Щелкните ОК, чтобы выполнить смену.

  5. Эта процедура меняет ключи шифрования и обновляет все экземпляры роли. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.

Смена строк подключения

Чтобы обновить учетные данные в строках подключения к базам данных размещения и измерения Службы приложений, выполните следующие действия:

  1. Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.

  2. Перейдите к пункту меню Секреты.

  3. В разделе "Строки подключения" нажмите кнопку Сменить.

  4. Укажите имя пользователя SA SQL и пароль, затем щелкните ОК, чтобы выполнить смену.

  5. Эта процедура приведет к смене учетных данных для всех экземпляров роли Службы приложений Azure. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.

Ротация сертификатов

Чтобы сменить сертификаты для Службы приложений Azure в Azure Stack Hub, выполните следующие действия:

  1. Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.

  2. Перейдите к пункту меню Секреты.

  3. В разделе "Сертификаты" нажмите кнопку Сменить.

  4. Укажите файл сертификата и соответствующий пароль для всех сертификатов, которые вы хотите сменить, и щелкните ОК.

  5. Эта процедура меняет запрошенные сертификаты для всех экземпляров роли Службы приложений Azure в Azure Stack Hub. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.

При смене сертификата приложения удостоверений соответствующее приложение в идентификаторе Microsoft Entra или AD FS также должно быть обновлено новым сертификатом.

Важно!

Если вы не обновите приложение удостоверений с использованием нового сертификата, после смены станут недоступны некоторые функции на пользовательском портале для Функций Azure: пользователи не смогут использовать средства разработчика Kudu, а администраторы — управлять наборами масштабирования рабочего уровня из интерфейса администрирования Службы приложений.

Смена учетных данных для приложения удостоверений Microsoft Entra

Приложение удостоверений создается оператором перед развертыванием Службы приложений Azure в Azure Stack Hub. Если идентификатор приложения неизвестен, выполните следующие действия, чтобы определить его:

  1. Откройте портал администрирования Azure Stack Hub.

  2. Выберите Подписки и Подписка поставщика по умолчанию.

  3. Выберите Управление доступом (IAM) и выберите приложение Служба приложений.

  4. Запишите идентификатор приложения. Это значение является идентификатором приложения удостоверений, которое необходимо обновить в Microsoft Entra идентификаторе.

Чтобы сменить сертификат для приложения с идентификатором Microsoft Entra, выполните следующие действия.

  1. Перейдите на портал Azure и войдите с учетной записью глобального администратора, с помощью которой был развернут Azure Stack Hub.

  2. Перейдите к идентификатору Microsoft Entra и выберите Регистрация приложений.

  3. Выполните поиск по идентификатору приложения и укажите идентификатор приложения удостоверений.

  4. Выберите приложение, а затем выберите Сертификаты и секреты.

  5. Щелкните Отправить сертификат и отправьте новый сертификат для приложения удостоверений в одном из следующих форматов: CER, PEM, CRT.

  6. Убедитесь, что отпечаток соответствует отпечатку в интерфейсе администрирования Службы приложений на портале администрирования Azure Stack Hub.

  7. Удалите старый сертификат.

Смена сертификата для приложения удостоверений AD FS

Приложение удостоверений создается оператором перед развертыванием Службы приложений Azure в Azure Stack Hub. Если идентификатор объекта приложения неизвестен, выполните следующие действия, чтобы определить его:

  1. Откройте портал администрирования Azure Stack Hub.

  2. Выберите Подписки и Подписка поставщика по умолчанию.

  3. Выберите контроль доступа (IAM) и выберите приложение AzureStack-AppService-guid<>.

  4. Запишите идентификатор объекта, представляющий собой идентификатор субъекта-службы, который необходимо обновить в AD FS.

Чтобы сменить сертификат для приложения в AD FS, необходим доступ к привилегированной конечной точке (PEP). Затем обновите учетные данные на основе сертификата с помощью PowerShell, заменив собственные значения такими заполнителями:

Заполнитель Описание Пример
<PepVM> Имя виртуальной машины с привилегированной конечной точкой в экземпляре Azure Stack Hub. AzS-ERCS01
<CertificateFileLocation> Расположение сертификата X509 на диске. d:\certs\sso.cer
<ApplicationObjectId> Идентификатор, присвоенный приложению удостоверений. S-1-5-21-401916501-2345862468-1451220656-1451

  1. Откройте сеанс Windows PowerShell с повышенными привилегиями и выполните следующий скрипт:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. После выполнения скрипта отобразятся сведения об обновленной регистрации приложения, включая значение отпечатка сертификата.

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

Смена системных учетных данных

Чтобы сменить системные учетные данные для Службы приложений Azure в Azure Stack Hub, выполните следующие действия:

  1. Откройте интерфейс администрирования Службы приложений Azure на портале администраторов Azure Stack Hub.

  2. Перейдите к пункту меню Секреты.

  3. В разделе "Системные учетные данные" нажмите кнопку Сменить.

  4. Выберите Область для смены системных учетных данных. Для смены системных учетных данных оператор может выбрать все роли или отдельные роли.

  5. Укажите новое Имя пользователя с правами локального администратора и новый Пароль. Затем подтвердите Пароль и нажмите кнопку ОК.

  6. Эта процедура меняет запрошенные учетные данные для всех экземпляров роли Службы приложений Azure в Azure Stack Hub. Операторы могут отслеживать состояние процедуры с помощью кнопки Состояние.