Obměna tajných kódů pro službu Event Hubs ve službě Azure Stack Hub
V tomto článku se dozvíte, jak obměňovat tajné kódy používané poskytovatelem prostředků služby Event Hubs.
Přehled a požadavky
Poznámka
Obměna tajných kódů pro poskytovatele prostředků s přidanou hodnotou (RP) se v současné době podporuje jenom prostřednictvím PowerShellu. Kromě toho musíte pravidelně proaktivně obměňovat tajné kódy pro poskytovatele prostředků s přidanou hodnotou, protože se v současné době negenerují výstrahy správy.
Podobně jako infrastruktura služby Azure Stack Hub i poskytovatelé prostředků s přidanou hodnotou používají interní i externí tajné kódy. Tajné kódy můžou mít různé podoby, včetně hesel a šifrovacích klíčů spravovaných certifikáty X509. Jako operátor zodpovídáte za:
- Poskytování aktualizovaných externích tajných klíčů, například nového certifikátu TLS sloužícího k zabezpečení koncových bodů poskytovatele prostředků
- Správa obměna tajných kódů poskytovatele prostředků v pravidelných intervalech
V rámci přípravy na obměně:
Před získáním nebo obnovením certifikátu X509 si projděte požadavky na certifikát infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub , kde najdete důležité informace o požadavcích, včetně podrobností o požadovaném formátu PFX. Projděte si také požadavky uvedené v části Volitelné certifikáty PaaS pro konkrétního poskytovatele prostředků s přidanou hodnotou.
Pokud jste to ještě neudělali, před pokračováním nainstalujte modul Az PowerShellu pro službu Azure Stack Hub . Pro obměně tajných kódů služby Azure Stack Hub se vyžaduje verze 2.0.2-preview nebo novější. Další informace najdete v tématu Migrace z AzureRM na Azure PowerShell Az ve službě Azure Stack Hub.
Příprava nového certifikátu TLS
Dále vytvořte nebo obnovte certifikát TLS pro zabezpečení koncových bodů poskytovatele prostředků s přidanou hodnotou:
Dokončete kroky v tématu Generování žádostí o podepsání certifikátu (CDR) pro obnovení certifikátu pro vašeho poskytovatele prostředků. Tady použijete nástroj Azure Stack Hub Readiness Checker k vytvoření csr. Nezapomeňte spustit správnou rutinu pro svého poskytovatele prostředků v kroku Generovat žádosti o certifikáty pro jiné služby Azure Stack Hub.
New-AzsHubEventHubsCertificateSigningRequestNapříklad se používá pro službu Event Hubs. Po dokončení odešlete vygenerovaný soubor . SOUBOR REQ pro nový certifikát u vaší certifikační autority (CA).Jakmile od certifikační autority obdržíte soubor certifikátu, proveďte kroky v tématu Příprava certifikátů k nasazení nebo obměně. Znovu použijete nástroj Readiness Checker ke zpracování souboru vráceného z certifikační autority.
Nakonec dokončete kroky v tématu Ověření certifikátů PKI služby Azure Stack Hub. Nástroj Readiness Checker ještě jednou použijete k provádění ověřovacích testů nového certifikátu.
Obměna tajných kódů
Nakonec určete nejnovější vlastnosti nasazení poskytovatele prostředků a použijte je k dokončení procesu obměně tajných kódů.
Určení vlastností nasazení
Poskytovatelé prostředků se nasazují do prostředí služby Azure Stack Hub jako balíček produktu s verzemi. Balíčkům se přiřadí jedinečné ID balíčku ve formátu '<product-id>.<installed-version>'. Kde <product-id> je jedinečný řetězec představující poskytovatele prostředků a <installed-version> představuje konkrétní verzi. Tajné kódy přidružené k jednotlivým balíčkům jsou uložené ve službě Azure Stack Hub Key Vault.
Otevřete konzolu PowerShellu se zvýšenými oprávněními a provedením následujících kroků určete vlastnosti potřebné k obměně tajných kódů poskytovatele prostředků:
Přihlaste se k prostředí služby Azure Stack Hub pomocí přihlašovacích údajů operátora. Informace o přihlašovacím skriptu PowerShellu najdete v tématu Připojení ke službě Azure Stack Hub pomocí PowerShellu . Nezapomeňte použít rutiny Az PowerShellu (místo AzureRM) a nahradit všechny zástupné hodnoty, jako jsou adresy URL koncových bodů a název tenanta adresáře.
Spuštěním rutiny
Get-AzsProductDeploymentnačtěte seznam nejnovějších nasazení poskytovatele prostředků."value"Vrácená kolekce obsahuje element pro každého nasazeného poskytovatele prostředků. Najděte poskytovatele prostředků, který vás zajímá, a poznamenejte si hodnoty těchto vlastností:-
"name"– obsahuje ID produktu poskytovatele prostředků ve druhém segmentu hodnoty. -
"properties"."deployment"."version"– obsahuje číslo aktuálně nasazené verze.
V následujícím příkladu si všimněte nasazení poskytovatele prostředků služby Event Hubs v prvním prvku v kolekci, který má ID
"microsoft.eventhub"produktu , a verzi"1.2003.0.0":PS C:\WINDOWS\system32> Get-AzsProductDeployment -AsJson VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productDeployments?api-version=2019-01-01 with 0-char payload VERBOSE: Received 2656-char response, StatusCode = OK { "value": [ { "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productDeployments/microsoft.eventhub", "name": "global/microsoft.eventhub", "type": "Microsoft.Deployment.Admin/locations/productDeployments", "properties": { "status": "DeploymentSucceeded", "subscriptionId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f", "deployment": { "version": "1.2003.0.0", "actionPlanInstanceResourceId":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/actionplans/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a", "parameters": { } }, "lastSuccessfulDeployment": { "version": "1.2003.0.0", "actionPlanInstanceResourceId":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/actionplans/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a", "parameters": { } }, "provisioningState": "Succeeded" } }, { ... } ] }-
Zřetězením ID produktu a verze poskytovatele prostředků sestavte ID balíčku poskytovatele prostředků. Například s použitím hodnot odvozených v předchozím kroku je
microsoft.eventhub.1.2003.0.0ID balíčku Poskytovatele prostředků služby Event Hubs .Pomocí ID balíčku odvozeného v předchozím kroku spusťte příkaz
Get-AzsProductSecret -PackageId, který načte seznam typů tajných kódů používaných poskytovatelem prostředků. Ve vrácenévaluekolekci vyhledejte prvek obsahující hodnotu"Certificate"pro"properties"."secretKind"vlastnost . Tento element obsahuje vlastnosti tajného klíče certifikátu poskytovatele prostředků. Poznamenejte si název přiřazený tomuto tajnému klíči certifikátu, který je identifikován posledním segmentem"name"vlastnosti přímo nad"properties".V následujícím příkladu kolekce tajných kódů vrácená pro poskytovatele prostředků služby Event Hubs obsahuje
"Certificate"tajný klíč s názvemaseh-ssl-gateway-pfx.PS C:\WINDOWS\system32> Get-AzsProductSecret -PackageId 'microsoft.eventhub.1.2003.0.0' -AsJson VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets?api-version=2019-01-01 with 0-char payload VERBOSE: Received 617-char response, StatusCode = OK { "value": [ { "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets/aseh-ssl-gateway-pfx", "name": "global/microsoft.eventhub.1.2003.0.0/aseh-ssl-gateway-pfx", "type": "Microsoft.Deployment.Admin/locations/productPackages/secrets", "properties": { "secretKind": "Certificate", "description": "Event Hubs gateway SSL certificate.", "expiresAfter": "P730D", "secretDescriptor": { }, "secretState": { "status": "Deployed", "rotationStatus": "None", "expirationDate": "2022-03-31T00:16:05.3068718Z" }, "provisioningState": "Succeeded" } }, ... ] }
Obměna tajných kódů
Pomocí rutiny
Set-AzsProductSecretnaimportujte nový certifikát do Key Vault, který použije proces obměně. Před spuštěním skriptu odpovídajícím způsobem nahraďte zástupné hodnoty proměnné:Zástupný symbol Popis Příklad hodnoty <product-id>ID produktu nejnovějšího nasazení poskytovatele prostředků. microsoft.eventhub<installed-version>Verze nejnovějšího nasazení poskytovatele prostředků. 1.2003.0.0<cert-secret-name>Název, pod kterým je tajný klíč certifikátu uložen. aseh-ssl-gateway-pfx<cert-pfx-file-path>Cesta k souboru PFX certifikátu. C:\dir\eh-cert-file.pfx<pfx-password>Heslo přiřazené k vašemu certifikátu SOUBOR PFX. strong@CertSecret6$productId = '<product-id>' $packageId = $productId + '.' + '<installed-version>' $certSecretName = '<cert-secret-name>' $pfxFilePath = '<cert-pfx-file-path>' $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -ForceNakonec pomocí rutiny
Invoke-AzsProductRotateSecretsActionobměňte interní a externí tajné kódy:Poznámka
Proces obměně trvá přibližně 3,5 až 4 hodiny.
Invoke-AzsProductRotateSecretsAction -ProductId $productIdPrůběh obměně tajných kódů můžete monitorovat v konzole PowerShellu nebo na portálu pro správu výběrem poskytovatele prostředků ve službě Marketplace:
Poradce při potížích
Obměně tajných kódů by se měla úspěšně dokončit bez chyb. Pokud na portálu pro správu narazíte na některou z následujících podmínek, otevřete žádost o podporu o pomoc:
- Problémy s ověřováním, včetně problémů s připojením k poskytovateli prostředků služby Event Hubs
- Nejde upgradovat poskytovatele prostředků nebo upravit parametry konfigurace.
- Metriky využití se nezobrazují.
- Negenerují se faktury.
- Zálohování neprobíná.
Další kroky
Podrobnosti o obměně tajných kódů infrastruktury služby Azure Stack Hub najdete v tématu Obměna tajných kódů ve službě Azure Stack Hub.