輪替 Azure Stack Hub 上 App Service 的祕密和憑證

  • 發行項

這些指示只適用於 Azure Stack Hub 上的 Azure App Service。 Azure Stack Hub 上 Azure App Service 祕密的輪替,不包含在 Azure Stack Hub 的集中式祕密輪替程序中。 操作員可以監視系統內的祕密有效性、上次更新的日期,以及祕密到期前的剩餘時間。

重要

操作員不會在 Azure Stack Hub 儀表板上收到祕密到期警示,因為 Azure App Service on Azure Stack Hub 並未與 Azure Stack Hub 警示服務整合。 操作員必須在 Azure Stack Hub 系統管理員入口網站上,使用 Azure App Service on Azure Stack Hub 系統管理體驗,定期監視其祕密。

本文件包含輪替下列祕密的程序:

  • Azure App Service on Azure Stack Hub 內所使用的加密金鑰。
  • Azure App Service on Azure Stack Hub 所使用的資料庫連線認證,可與裝載和計量資料庫互動。
  • Azure Stack Hub 上 Azure App 服務 用來保護身分識別應用程式憑證在 Microsoft Entra 標識碼或 Active Directory 同盟服務 (AD FS) 中的端點和輪替憑證。
  • Azure Stack Hub 上的 Azure App Service 基礎結構角色的系統認證。

輪替加密金鑰

若要輪替 Azure App Service on Azure Stack Hub 內所使用的加密金鑰,請執行下列步驟:

  1. 在 Azure Stack Hub 系統管理員入口網站中,移至 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [加密金鑰] 區段中的 [輪替] 按鈕。

  4. 選取 [確定] 以開始輪替程序。

  5. 加密金鑰會輪替,且所有角色執行個體會更新。 操作員可以使用 [狀態] 按鈕來查看程序的狀態。

輪替連接字串

若要為 App Service 裝載和計量資料庫更新資料庫連接字串的認證,請執行下列步驟:

  1. 在 Azure Stack Hub 系統管理員入口網站中,移至 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [連接字串] 區段中的 [輪替] 按鈕。

  4. 提供 SQL SA 使用者名稱密碼,然後選取 [確定] 以開始輪替程序。

  5. 認證會在 Azure App Service 角色執行個體間輪替。 操作員可以使用 [狀態] 按鈕來查看程序的狀態。

輪替憑證

若要輪替 Azure App Service on Azure Stack Hub 內所使用的憑證,請執行下列步驟:

  1. 在 Azure Stack Hub 系統管理員入口網站中,移至 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [憑證] 區段中的 [輪替] 按鈕

  4. 為您想要輪替的憑證提供憑證檔案和相關聯的密碼,然後選取 [確定] 。

  5. 這些憑證會視需要在 Azure App Service on Azure Stack Hub 角色執行個體間輪替。 操作員可以使用 [狀態] 按鈕來查看程序的狀態。

輪替身分識別應用程式憑證時,也必須使用新的憑證更新 Microsoft Entra標識碼或 AD FS 中的對應應用程式。

重要

若無法將身分識別應用程式更新為新的憑證,則在輪替之後,Azure Functions 的使用者入口網站體驗將會中斷、使用者將無法使用 KUDU 開發人員工具,且管理員將無法從 App Service 系統管理體驗管理背景工作層擴展集。

輪替 Microsoft Entra 身分識別應用程式的認證

在 Azure Stack Hub 上部署 Azure App Service 之前,操作員會建立身分識別應用程式。 如果應用程式識別碼不明,請遵循下列步驟來找出:

  1. 移至 Azure Stack Hub 系統管理員入口網站

  2. 移至 [訂用帳戶] ,然後選取 [預設提供者訂用帳戶] 。

  3. 選取 [存取控制 (IAM)] ,然後選取 [App Service] 應用程式。

  4. 記下應用程式識別碼,此值是必須在 Microsoft Entra 標識碼中更新之身分識別應用程式的應用程式識別碼。

若要在 Microsoft Entra 識別碼中輪替應用程式的憑證,請遵循下列步驟:

  1. 移至 Azure 入口網站,並使用部署 Azure Stack Hub 時所用的全域管理員進行登入。

  2. 移至 [Microsoft Entra 標識符],然後流覽至 [應用程式註冊]。

  3. 搜尋應用程式識別碼,然後指定身分識別應用程式識別碼。

  4. 選取應用程式,然後移至 [憑證和祕密] 。

  5. 選取 [上傳憑證] ,然後使用下列其中一種檔案類型來上傳身分識別應用程式的新憑證:.cer、.pem、.crt。

  6. 確認 [指紋] 符合 Azure Stack Hub 系統管理員入口網站中 App Service 系統管理體驗所列的指紋。

  7. 刪除舊憑證。

輪替 AD FS 身分識別應用程式的憑證

在 Azure Stack Hub 上部署 Azure App Service 之前,操作員會建立身分識別應用程式。 如果應用程式的物件識別碼不明,請遵循下列步驟來找出:

  1. 移至 Azure Stack Hub 系統管理員入口網站

  2. 移至 [訂用帳戶] ,然後選取 [預設提供者訂用帳戶] 。

  3. 選取 [存取控制 (IAM)],然後選取 [AzureStack-AppService-<GUID>] 應用程式。

  4. 記下 [物件識別碼] ,此值是必須在 AD FS 中更新的服務主體識別碼。

若要在 AD FS 中輪替應用程式的憑證,您必須能夠存取具特殊權限的端點 (PEP)。 然後,您必須使用 PowerShell 更新憑證認證,並以您自己的值取代下列預留位置:

預留位置 描述 範例
<PepVM> Azure Stack Hub 執行個體上特殊權限端點 VM 的名稱。 "AzS-ERCS01"
<CertificateFileLocation> 您的 X509 憑證在磁碟上的位置。 "d:\certs\sso.cer"
<ApplicationObjectId> 指派給身分識別應用程式的識別碼。 "S-1-5-21-401916501-2345862468-1451220656-1451"

  1. 開啟已提升權限的 Windows PowerShell 工作階段,然後執行下列指令碼:

    # Sign in to PowerShell interactively, using credentials that have access to the VM running the Privileged Endpoint
$Creds = Get-Credential

# Create a new Certificate object from the identity application certificate exported as .cer file
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<CertificateFileLocation>")

# Create a new PSSession to the PrivelegedEndpoint VM
$Session = New-PSSession -ComputerName "<PepVm>" -ConfigurationName PrivilegedEndpoint -Credential $Creds -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Use the privileged endpoint to update the certificate thumbprint, used by the service principal associated with the App Service identity application
$SpObject = Invoke-Command -Session $Session -ScriptBlock {Set-GraphApplication -ApplicationIdentifier "<ApplicationObjectId>" -ClientCertificates $using:Cert}
$Session | Remove-PSSession

# Output the updated service principal details
$SpObject

  2. 指令碼完成後,便會顯示更新後的應用程式註冊資訊,包括憑證的指紋值。

    ApplicationIdentifier : S-1-5-21-401916501-2345862468-1451220656-1451
ClientId              : 
Thumbprint            : FDAA679BF9EDDD0CBB581F978457A37BFD73CA3B
ApplicationName       : Azurestack-AppService-d93601c2-1ec0-4cac-8d1c-8ccde63ef308
ClientSecret          : 
PSComputerName        : AzS-ERCS01
RunspaceId            : cb471c79-a0d3-40ec-90ba-89087d104510

輪替系統認證

若要輪替 Azure App Service on Azure Stack Hub 內所使用的系統認證,請執行下列步驟:

  1. 在 Azure Stack Hub 系統管理員入口網站中,移至 App Service 系統管理體驗。

  2. 移至 [祕密] 功能表選項。

  3. 選取 [系統認證] 區段中的 [輪替] 按鈕。

  4. 選取要輪替系統認證的 [範圍] 。 操作員可以選擇輪替所有角色或個別角色的系統認證。

  5. 指定新的本機管理使用者名稱和新的密碼。 然後,確認 [密碼] 並選取 [確定] 。

  6. 這些認證會視需要在對應的 Azure App Service on Azure Stack Hub 角色執行個體間輪替。 操作員可以使用 [狀態] 按鈕來查看程序的狀態。