Obměna tajných klíčů ve službě Azure Stack Hub

Tento článek obsahuje pokyny k obměně tajných kódů, které pomáhají udržovat zabezpečenou komunikaci s prostředky a službami infrastruktury služby Azure Stack Hub.

Přehled

Azure Stack Hub používá tajné kódy k udržování zabezpečené komunikace s prostředky a službami infrastruktury. Aby se zachovala integrita infrastruktury služby Azure Stack Hub, potřebují operátoři možnost obměňovat tajné kódy s frekvencí, která je v souladu s požadavky jejich organizace na zabezpečení.

Když se blíží vypršení platnosti tajných kódů, na portálu pro správu se vygenerují následující výstrahy. Dokončení obměně tajných kódů vyřeší tyto výstrahy:

• Nevyřízené vypršení platnosti hesla účtu služby
• Blížící se vypršení platnosti interního certifikátu
• Blížící se vypršení platnosti externího certifikátu

Upozornění

Před vypršením platnosti se na portálu pro správu aktivují 2 fáze upozornění:

• 90 dní před vypršením platnosti se vygeneruje upozornění.
• 30 dní před vypršením platnosti se vygeneruje kritická výstraha.

Pokud obdržíte tato oznámení, je důležité , abyste dokončili obměnu tajných kódů. Pokud to neuděláte, může dojít ke ztrátě úloh a možnému opětovnému nasazení služby Azure Stack Hub na vlastní náklady!

Další informace o monitorování a nápravě výstrah najdete v tématu Monitorování stavu a upozornění ve službě Azure Stack Hub.

Požadavky

1. Důrazně doporučujeme, abyste měli podporovanou verzi služby Azure Stack Hub a použili nejnovější dostupnou opravu hotfix pro verzi služby Azure Stack Hub, kterou vaše instance používá. Pokud například používáte verzi 2008, ujistěte se, že máte nainstalovanou nejnovější opravu hotfix dostupnou pro verzi 2008.

2. Upozorněte uživatele na operace plánované údržby. Naplánujte co nejvíce běžná časová období údržby mimo pracovní dobu. Operace údržby můžou ovlivnit uživatelské úlohy i operace portálu.

3. Generování žádostí o podepsání certifikátu pro službu Azure Stack Hub

4. Připravte certifikáty PKI služby Azure Stack Hub.

5. Během obměně tajných kódů si můžou operátoři všimnout otevření a automatického zavření výstrah. Jedná se o očekávané chování a tato upozornění můžete ignorovat. Operátoři můžou platnost těchto upozornění ověřit pomocí rutiny PowerShellu Test-AzureStack. Pokud operátoři pomocí System Center Operations Manageru monitorují systémy Azure Stack Hub, uvedení systému do režimu údržby zabrání těmto výstrahám, aby se dostaly k jejich systémům ITSM. Upozornění ale budou dál přicházet, pokud se systém Azure Stack Hub stane nedostupným.

Obměna externích tajných kódů

Důležité

Obměně externích tajných kódů pro:

• Tajné kódy, které nejsou certifikáty, jako jsou zabezpečené klíče a řetězce , musí provést ručně správce. To zahrnuje hesla účtů uživatelů a správců a hesla síťových přepínačů.
• Tajné kódy poskytovatele prostředků s přidanou hodnotou jsou popsané v samostatných doprovodných materiálech:
  • App Service v Azure Stack Hubu
  • Event Hubs v Azure Stack Hubu
  • MySQL ve službě Azure Stack Hub
  • SQL ve službě Azure Stack Hub
• Přihlašovací údaje řadiče pro správu základní desky (BMC) jsou ruční proces, probíraný dále v tomto článku.
• Azure Container Registry externích certifikátů je ruční proces, probíraný dále v tomto článku.

Tato část popisuje obměnu certifikátů používaných k zabezpečení externích služeb. Tyto certifikáty poskytuje operátor služby Azure Stack Hub pro následující služby:

• Portál správce
• Veřejný portál
• Azure Resource Manager pro správce
• Globální Resource Manager Azure
• Key Vault správce
• Key Vault
• Hostitel rozšíření Správa
• ACS (včetně úložiště objektů blob, tabulek a front)
• ADFS¹
• Graf¹
• Container Registry²

^1.Platí při použití služby Ad FS (Active Directory Federated Services).

^2.Platí při použití Azure Container Registry (ACR).

Příprava

Před obměnou externích tajných kódů:

1. Spusťte rutinu PowerShellu Test-AzureStack pomocí parametru , -group SecretRotationReadiness abyste před obměnou tajnými kódy ověřili, že jsou všechny výstupy testů v pořádku.

2. Připravte novou sadu náhradních externích certifikátů:

   • Nová sada musí odpovídat specifikacím certifikátů uvedeným v požadavcích na certifikát PKI služby Azure Stack Hub.

   • Vygenerujte žádost o podepsání certifikátu (CSR), kterou odešlete certifikační autoritě (CA). Postupujte podle kroků uvedených v tématu Generování žádostí o podepsání certifikátů a připravte je pro použití v prostředí služby Azure Stack Hub pomocí kroků v tématu Příprava certifikátů PKI. Azure Stack Hub podporuje obměnu tajných kódů pro externí certifikáty z nové certifikační autority (CA) v následujících kontextech:

     Otočit z certifikační autority	Otočit na certifikační autoritu	Podpora verzí služby Azure Stack Hub
     Self-Signed	Enterprise	1903 & později
     Self-Signed	Self-Signed	Nepodporuje se
     Self-Signed	Veřejná*	1803 & novější
     Enterprise	Enterprise	1803 & později; 1803–1903, pokud se při nasazení používá stejná certifikační autorita organizace
     Enterprise	Self-Signed	Nepodporuje se
     Enterprise	Veřejná*	1803 & novější
     Veřejná*	Enterprise	1903 & později
     Veřejná*	Self-Signed	Nepodporuje se
     Veřejná*	Veřejná*	1803 & novější

     ^*Součást důvěryhodného kořenového programu systému Windows.

   • Nezapomeňte ověřit certifikáty, které připravíte, pomocí kroků uvedených v části Ověření certifikátů PKI.

   • Ujistěte se, že heslo neobsahuje žádné speciální znaky, například $,*,#,@)or'.

   • Ujistěte se, že šifrování PFX je TripleDES-SHA1. Pokud narazíte na problém, projděte si téma Řešení běžných problémů s certifikáty PKI služby Azure Stack Hub.

3. Uložte zálohu k certifikátům použitým k obměně v zabezpečeném umístění zálohování. Pokud se vaše obměna spustí a pak se nezdaří, nahraďte certifikáty ve sdílené složce záložními kopiemi před opětovným spuštěním obměna. Uchovávejte záložní kopie v zabezpečeném umístění zálohování.

4. Vytvořte sdílenou složku, ke které máte přístup z virtuálních počítačů ERCS. Sdílená složka musí být čitelná a zapisovatelná pro identitu CloudAdmin .

5. Otevřete konzolu PowerShell ISE z počítače, kde máte přístup ke sdílené složce. Přejděte do sdílené složky, kde vytvoříte adresáře pro umístění externích certifikátů.

6. Ve sdílené složce vytvořte složku s názvem Certificates. Ve složce certificates vytvořte podsložku s názvem AAD nebo ADFSv závislosti na poskytovateli identity, který vaše centrum používá. Například .\Certificates\AAD nebo .\Certificates\ADFS. Neměly by se zde vytvářet žádné další složky kromě složky certifikáty a podsložky zprostředkovatele identity.

7. Zkopírujte novou sadu náhradních externích certifikátů vytvořenou v kroku 2 do složky .\Certificates\<IdentityProvider> vytvořené v kroku 6. Jak je uvedeno výše, podsložka zprostředkovatele identity musí být AADADFSnebo . Ujistěte se, že alternativní názvy subjektů (SAN) náhradních externích certifikátů mají cert.<regionName>.<externalFQDN> formát zadaný v požadavcích na certifikáty infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub.

   Tady je příklad struktury složek pro zprostředkovatele identity Microsoft Entra:

       <ShareName>
           │
           └───Certificates
                 └───AAD
                     ├───ACSBlob
                     │       <CertName>.pfx
                     │
                     ├───ACSQueue
                     │       <CertName>.pfx
                     │
                     ├───ACSTable
                     │       <CertName>.pfx
                     │
                     ├───Admin Extension Host
                     │       <CertName>.pfx
                     │
                     ├───Admin Portal
                     │       <CertName>.pfx
                     │
                     ├───ARM Admin
                     │       <CertName>.pfx
                     │
                     ├───ARM Public
                     │       <CertName>.pfx
                     │
                     ├───Container Registry*
                     │       <CertName>.pfx
                     │
                     ├───KeyVault
                     │       <CertName>.pfx
                     │
                     ├───KeyVaultInternal
                     │       <CertName>.pfx
                     │
                     ├───Public Extension Host
                     │       <CertName>.pfx
                     │
                     └───Public Portal
                             <CertName>.pfx
   

^*Platí při použití Azure Container Registry (ACR) pro Microsoft Entra ID a AD FS.

Poznámka

Pokud obměníte externí certifikáty služby Container Registry, musíte ručně vytvořit Container Registry podsložku v podsložce zprostředkovatele identity. Kromě toho musíte v této ručně vytvořené podsložce uložit odpovídající certifikát .pfx.

Obměna

Provedením následujících kroků obměňte externí tajné kódy:

1. K obměně tajných kódů použijte následující skript PowerShellu. Skript vyžaduje přístup k relaci Privileged EndPoint (PEP). K PEP se přistupuje prostřednictvím vzdálené relace PowerShellu na virtuálním počítači, který je hostitelem pepy. Pokud používáte integrovaný systém, existují tři instance PEP, z nichž každá běží na virtuálním počítači (Prefix-ERCS01, Prefix-ERCS02 nebo Prefix-ERCS03) na různých hostitelích. Skript provede následující kroky:

   • Vytvoří relaci PowerShellu s privilegovaným koncovým bodem pomocí účtu CloudAdmin a uloží relaci jako proměnnou. Tato proměnná se použije jako parametr v dalším kroku.

   • Spustí Invoke-Command a jako parametr předá proměnnou -Session relace PEP.

   • Spustí Start-SecretRotation se v relaci PEP pomocí následujících parametrů. Další informace najdete v referenčních informacích k Start-SecretRotation :

     Parametr	Proměnná	Popis
     -PfxFilesPath	$CertSharePath	Síťová cesta ke kořenové složce certifikátů, jak je popsáno v kroku 6 v části Příprava, například \\<IPAddress>\<ShareName>\Certificates.
     -PathAccessCredential	$CertShareCreds	Objekt PSCredential pro přihlašovací údaje ke sdílené složce.
     -CertificatePassword	$CertPassword	Zabezpečený řetězec hesla, který se používá pro všechny vytvořené soubory certifikátů pfx.

   # Create a PEP session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run secret rotation
   $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
   $CertShareCreds = Get-Credential
   $CertSharePath = "<Network_Path_Of_CertShare>"
   Invoke-Command -Session $PEPsession -ScriptBlock {
       param($CertSharePath, $CertPassword, $CertShareCreds )
       Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
   } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
   Remove-PSSession -Session $PEPSession
   

2. Obměně externích tajných kódů trvá přibližně jednu hodinu. Po úspěšném dokončení se v konzole zobrazí zpráva s textem ActionPlanInstanceID ... CurrentStatus: CompletedAction plan finished with status: 'Completed'. Odeberte certifikáty ze sdílené složky vytvořené v části Příprava a uložte je do jejich zabezpečeného umístění zálohování.

   Poznámka

   Pokud se obměně tajných kódů nezdaří, postupujte podle pokynů v chybové zprávě a spusťte Start-SecretRotation znovu s parametrem -ReRun .

   Start-SecretRotation -ReRun
   

   Pokud dochází k opakovaným selháním obměny tajných kódů, obraťte se na podporu.

3. Pokud chcete ověřit, že se všechny externí certifikáty obměněly, spusťte ověřovací nástroj Test-AzureStack pomocí následujícího skriptu:

   Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
   

Obměna interních tajných kódů

Mezi interní tajné kódy patří certifikáty, hesla, zabezpečené řetězce a klíče používané infrastrukturou služby Azure Stack Hub bez nutnosti zásahu operátora služby Azure Stack Hub. Obměna interních tajných kódů je nutná jenom v případě, že máte podezření, že došlo k ohrožení zabezpečení některého z nich, nebo když dostanete upozornění na skončení platnosti.

Provedením následujících kroků obměňte interní tajné kódy:

1. Spusťte následující skript PowerShellu. Všimněte si, že při obměně interních tajných kódů se v části "Run Secret Secret Rotation" používá pouze -Internal parametr rutiny Start-SecretRotation:

   # Create a PEP Session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run Secret Rotation
   Invoke-Command -Session $PEPSession -ScriptBlock {
       Start-SecretRotation -Internal
   }
   Remove-PSSession -Session $PEPSession
   

2. Po úspěšném dokončení se v konzole zobrazí zpráva s textem ActionPlanInstanceID ... CurrentStatus: CompletedAction plan finished with status: 'Completed'.

   Poznámka

   Pokud se obměna tajných kódů nezdaří, postupujte podle pokynů v chybové zprávě a znovu spusťte příkaz Start-SecretRotation s parametry -Internal a -ReRun.

   Start-SecretRotation -Internal -ReRun
   

   Pokud dochází k opakovaným selháním obměny tajných kódů, obraťte se na podporu.

Obměna kořenového certifikátu služby Azure Stack Hub

Kořenový certifikát služby Azure Stack Hub se zřizuje během nasazení s vypršením platnosti 5 let. Od verze 2108 obměna interních tajných kódů také obměňuje kořenový certifikát. Standardní výstraha vypršení platnosti tajného kódu identifikuje vypršení platnosti kořenového certifikátu a vygeneruje výstrahy po 90 (upozornění) i 30 (kritických) dnech.

Pokud chcete kořenový certifikát otočit, musíte aktualizovat systém na 2108 a provést obměně interních tajných kódů.

Následující fragment kódu používá k výpisu data vypršení platnosti kořenového certifikátu privilegovaný koncový bod:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Aktualizace přihlašovacích údajů BMC

Kontroler pro správu základní desky monitoruje fyzický stav serverů. Pokyny k aktualizaci názvu a hesla uživatelského účtu řadiče pro správu základní desky najdete od dodavatele hardwaru OEM (Original Equipment Manufacturer Manufacturer).

Poznámka

Výrobce OEM může poskytovat další aplikace pro správu. Aktualizace uživatelského jména nebo hesla pro jiné aplikace pro správu nemá žádný vliv na uživatelské jméno nebo heslo řadiče pro správu základní desky.

1. Už se nevyžaduje, abyste nejprve aktualizovali přihlašovací údaje řadiče pro správu základní desky na fyzických serverech služby Azure Stack Hub podle pokynů výrobce OEM. Uživatelské jméno a heslo pro každou řadič pro správu základní desky ve vašem prostředí musí být stejné a nesmí překročit 16 znaků.

2. Otevřete privilegovaný koncový bod v relacích služby Azure Stack Hub. Pokyny najdete v tématu Použití privilegovaného koncového bodu ve službě Azure Stack Hub.

3. Po otevření relace privilegovaného koncového bodu spusťte jeden z následujících skriptů PowerShellu, které používají Invoke-Command ke spuštění set-BmcCredential. Pokud použijete volitelný parametr -BypassBMCUpdate s Set-BMCCredential, přihlašovací údaje v řadiči pro správu základní desky se neaktualizují. Aktualizuje se pouze interní úložiště dat služby Azure Stack Hub. Předejte proměnnou relace privilegovaného koncového bodu jako parametr.

   Tady je příklad powershellového skriptu, který zobrazí výzvu k zadání uživatelského jména a hesla:

   # Interactive Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
   $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
   $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

   Uživatelské jméno a heslo můžete také zakódovat do proměnných, což může být méně bezpečné:

   # Static Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
   $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
   $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
   $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
   $NewBmcUser = "<New BMC User name>"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

Referenční informace: rutina Start-SecretRotation

Rutina Start-SecretRotation obměňuje tajné kódy infrastruktury systému Azure Stack Hub. Tuto rutinu je možné spustit pouze proti privilegovanému koncovému bodu služby Azure Stack Hub pomocí bloku skriptu, který Invoke-Command předává relaci PEP v parametru -Session . Ve výchozím nastavení obměňuje pouze certifikáty všech koncových bodů externí síťové infrastruktury.

Parametr	Typ	Vyžadováno	Position	Výchozí	Description
PfxFilesPath	Řetězec	Ne	S názvem	Žádné	Cesta sdílené složky ke kořenové složce \Certificates obsahující všechny certifikáty externích koncových bodů sítě. Vyžaduje se pouze při obměně externích tajných kódů. Cesta musí končit složkou \Certificates , například \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword	Securestring	Ne	S názvem	Žádné	Heslo pro všechny certifikáty zadané v cestě -PfXFilesPath. Požadovaná hodnota, pokud pfxFilesPath je zadaná při obměně externích tajných kódů.
Internal	Řetězec	Ne	S názvem	Žádné	Interní příznak se musí použít vždy, když chce operátor služby Azure Stack Hub obměňovat tajné kódy interní infrastruktury.
PathAccessCredential	PSCredential	Ne	S názvem	Žádné	Přihlašovací údaje PowerShellu pro sdílenou složku adresáře \Certificates obsahující všechny certifikáty externích koncových bodů sítě. Vyžaduje se pouze při obměně externích tajných kódů.
ReRun	Přepínací parametr	Ne	S názvem	Žádné	Musí se použít vždy, když se po neúspěšném pokusu znovu provede obměna tajných kódů.

Syntax

Pro obměně externích tajných kódů

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Pro obměně interních tajných kódů

Start-SecretRotation [-Internal]  

Pro opětovné spuštění obměně externích tajných kódů

Start-SecretRotation [-ReRun]

Opětovné spuštění obměně interních tajných kódů

Start-SecretRotation [-ReRun] [-Internal]

Příklady

Obměna pouze interních tajných kódů infrastruktury

Tento příkaz se musí spustit prostřednictvím privilegovaného koncového bodu prostředí služby Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Tento příkaz obmění všechny tajné kódy infrastruktury vystavené interní síti služby Azure Stack Hub.

Obměna pouze tajných kódů externí infrastruktury

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Tento příkaz obmění certifikáty TLS používané pro koncové body externí síťové infrastruktury služby Azure Stack Hub.

Další kroky

Další informace o zabezpečení služby Azure Stack Hub