Rotieren von Geheimnissen in Azure Stack Hub

Dieser Artikel enthält Anleitungen zur Durchführung der Geheimnisrotation, um die sichere Kommunikation mit Azure Stack Hub-Infrastrukturressourcen und -diensten zu gewährleisten.

Übersicht

Azure Stack Hub verwendet Geheimnisse, um eine sichere Kommunikation mit Infrastrukturressourcen und -diensten zu gewährleisten. Um die Integrität der Azure Stack Hub-Infrastruktur zu erhalten, müssen Operatoren die Geheimnisse mit einer Häufigkeit rotieren können, die mit den Sicherheitsanforderungen ihrer Organisation in Einklang steht.

Für Geheimnisse, deren Ablauf bald bevorsteht, werden im Administratorportal folgende Benachrichtigungen generiert. Diese Warnungen lassen sich durch das Durchführen einer Geheimnisrotation beheben:

  • Pending service account password expiration (Bevorstehender Ablauf eines Dienstkontokennworts)
  • Pending internal certificate expiration (Bevorstehender Ablauf eines internen Zertifikats)
  • Pending external certificate expiration (Bevorstehender Ablauf eines externen Zertifikats)

Warnung

Es gibt 2 Phasen für Benachrichtigungen, die vor dem Ablauf im Administratorportal generiert werden:

  • 90 Tage vor dem Ablauf wird eine Warnmeldung generiert.
  • 30 Tage vor dem Ablauf wird eine kritische Warnung generiert.

Es ist von entscheidender Bedeutung, das Sie das Rotieren von Geheimnissen ausführen, wenn Sie diese Benachrichtigungen erhalten. Wenn Sie die Durchführung versäumen, kann dies zum Verlust von Workloads führen und möglicherweise eine Neubereitstellung von Azure Stack Hub auf Ihre Kosten nach sich ziehen!

Weitere Informationen zur Überwachung und Korrektur von Benachrichtigungen finden Sie unter Überwachen von Integrität und Warnungen in Azure Stack Hub.

Hinweis

In Azure Stack Hub-Umgebungen mit Versionen vor 1811 treten möglicherweise Warnungen zum bevorstehenden Ablauf von internen Zertifikaten oder Geheimnissen auf. Diese Warnungen sind ungenau und sollten ohne interne Geheimnisrotation ignoriert werden. Falsche Warnungen im Zusammenhang mit dem Ablauf interner Geheimnisse sind ein bekanntes Problem, das in 1811 behoben wurde. Interne Geheimnisse laufen erst ab, wenn die Umgebung für zwei Jahre aktiv war.

Voraussetzungen

  1. Es wird dringend empfohlen, eine unterstützte Version von Azure Stack Hub auszuführen und sicherzustellen, dass der neueste verfügbare Hotfix für die Azure Stack Hub-Version, die auf Ihrer Instanz ausgeführt wird, angewendet wird. Wenn Sie z. B. Version 2008 ausführen, stellen Sie sicher, dass Sie den neuesten Hotfix installiert haben, der für 2008 verfügbar ist.

    Wichtig

    Für Versionen vor 1811:

    • Wenn die Geheimnisrotation bereits durchgeführt wurde, müssen Sie auf Version 1811 oder höher aktualisieren, bevor Sie die Geheimnisrotation erneut ausführen. Die Geheimnisrotation muss über den privilegierten Endpunkt ausgeführt werden und erfordert Anmeldeinformationen für einen Azure Stack Hub-Operator. Wenn Sie nicht wissen, ob die Geheimnisrotation für Ihre Umgebung ausgeführt wurde, aktualisieren Sie vor dem Ausführen der Geheimnisrotation auf Version 1811.
    • Zum Hinzufügen von Erweiterungshostzertifikaten muss keine Geheimnisrotation durchgeführt werden. Befolgen Sie die Anweisungen im Artikel Vorbereiten auf den Erweiterungshost für Azure Stack Hub, um Erweiterungshostzertifikate hinzuzufügen.
  2. Informieren Sie Ihre Benutzer über geplante Wartungsmaßnahmen. Planen Sie normale Wartungszeitfenster möglichst außerhalb der Geschäftszeiten. Wartungsvorgänge können sowohl Benutzerworkloads als auch Portalvorgänge beeinträchtigen.

  3. Operatoren wird auffallen, dass während der Geheimnisrotation Warnungen geöffnet und automatisch wieder geschlossen werden. Dieses Verhalten ist zu erwarten, und die Warnungen können ignoriert werden. Operatoren können die Gültigkeit dieser Warnungen durch Verwenden des Cmdlets Test-AzureStack PowerShell überprüfen. Wenn Operatoren Azure Stack Hub-Systeme mithilfe von System Center Operations Manager (SCOM) überwachen, wird durch Versetzen eines Systems in den Wartungsmodus verhindert, dass diese Warnungen ihre ITSM-Systeme erreichen. Es werden jedoch weiterhin Warnungen ausgegeben, wenn das Azure Stack Hub-System nicht mehr erreichbar ist.

Rotieren externer Geheimnisse

Wichtig

Rotation externer Geheimnisse für:

In diesem Abschnitt wird die Rotation von Zertifikaten behandelt, die zum Sichern extern verfügbarer Dienste verwendet werden. Diese Zertifikate werden vom Azure Stack Hub-Operator für die folgenden Dienste bereitgestellt:

  • Administratorportal
  • Öffentliches Portal
  • Azure Resource Manager (Administrator)
  • Azure Resource Manager (global)
  • Key Vault-Administrator
  • Key Vault
  • Administratorerweiterungshost
  • ACS (einschließlich Blob, Table und Queue Storage)
  • ADFS*
  • Graph*

*Gilt für die Verwendung der Active Directory-Verbunddienste (AD FS).

Vorbereitung

Vor der Rotation externer Geheimnisse:

  1. Führen Sie das Test-AzureStack -PowerShell-Cmdlet mithilfe des -group SecretRotationReadiness-Parameters aus, um zu bestätigen, dass alle Testausgaben fehlerfrei sind, bevor Sie Geheimnisse rotieren.

  2. Bereiten Sie eine neue Gruppe externer Ersatzzertifikate vor:

    • Die neue Gruppe muss den Zertifikatspezifikationen aus den Azure Stack Hub-PKI-Zertifikatanforderungen entsprechen.

    • Generieren Sie eine Anforderung zur Signierung eines Zertifikats (Certificate Signing Request, CSR) zum Einreichen bei Ihrer Zertifizierungsstelle (Certificate Authority, CA). Verwenden Sie dazu die unter Generieren von Zertifikatsignieranforderungen beschriebenen Schritte, und bereiten Sie sie mit den in Vorbereiten von PKI-Zertifikaten beschriebenen Schritten für die Verwendung in Ihrer Azure Stack Hub-Umgebung vor. Azure Stack Hub unterstützt die Geheimnisrotation für externe Zertifikate von einer neuen Zertifizierungsstelle (ZS) in den folgenden Kontexten:

      Rotieren von der Zertifizierungsstelle Rotieren zur Zertifizierungsstelle Unterstützung für Azure Stack Hub-Versionen
      Selbstsigniert Enterprise 1903 und höher
      Selbstsigniert Selbstsigniert Nicht unterstützt
      Selbstsigniert Öffentlich* 1803 und höher
      Enterprise Enterprise 1803 und höher; 1803–1903, wenn DIESELBE Enterprise-Zertifizierungsstelle wie bei der Bereitstellung verwendet wird.
      Enterprise Selbstsigniert Nicht unterstützt
      Enterprise Öffentlich* 1803 und höher
      Öffentlich* Enterprise 1903 und höher
      Öffentlich* Selbstsigniert Nicht unterstützt
      Öffentlich* Öffentlich* 1803 und höher

      *Teil des Microsoft-Programms für vertrauenswürdige Stämme.

    • Achten Sie darauf, dass Sie die Zertifikate mit den in Überprüfen von Azure Stack-PKI-Zertifikaten beschriebenen Schritten überprüfen.

    • Vergewissern Sie sich, dass das Kennwort keine Sonderzeichen wie $, *, #, @, or)` enthält.

    • Vergewissern Sie sich, dass als PFX-Verschlüsselung TripleDES-SHA1 verwendet wird. Lesen Sie bei Bedarf die Informationen unter Beheben allgemeiner Probleme mit Azure Stack Hub-PKI-Zertifikaten.

  3. Speichern Sie eine Sicherung der für die Rotation verwendeten Zertifikate an einem sicheren Sicherungsspeicherort. Sollte die Rotation nicht erfolgreich sein, ersetzen Sie die Zertifikate in der Dateifreigabe durch die Sicherungskopien, und wiederholen Sie dann die Rotation. Bewahren Sie Sicherungskopien am sicheren Sicherungsspeicherort auf.

  4. Erstellen Sie eine Dateifreigabe, auf die Sie über die virtuellen ERCS-Computer zugreifen können. Die Identität CloudAdmin muss über Lese- und Schreibzugriff für die Dateifreigabe verfügen.

  5. Öffnen Sie eine PowerShell ISE-Konsole auf einem Computer, auf dem Sie Zugriff auf die Dateifreigabe haben. Navigieren Sie zu Ihrer Dateifreigabe, wo Sie Verzeichnisse für Ihre externen Zertifikate erstellen.

  6. Laden Sie CertDirectoryMaker.ps1 in Ihre Netzwerkdateifreigabe herunter, und führen Sie das Skript aus. Das Skript erstellt eine Ordnerstruktur entsprechend .\Certificates\AAD oder .\Certificates\ADFS_, abhängig von Ihrem Identitätsanbieter. Ihre Ordnerstruktur unter der Netzwerk-Dateifreigabe MUSS mit einem \Certificates-Ordner beginnen, NUR gefolgt von einem \AAD- oder \ADFS-Ordner. Alle verbleibenden Unterverzeichnisse sind in der vorangehenden Struktur enthalten. Zum Beispiel:

    • Fileshare = \\<IPAddress>\<ShareName>
    • Zertifikatstammordner innerhalb der Dateifreigabe = \\<IPAddress>\<ShareName>\Certificates
    • Vollständiger Pfad zum Zertifikatordner für Azure AD-Anbieter = \\<IPAddress>\<ShareName>\Certificates\AAD
    • Vollständiger Pfad zum Zertifikatordner für ADFS-Anbieter = \\<IPAddress>\<ShareName>\Certificates\ADFS

    Wichtig

    Wenn Sie Start-SecretRotation später ausführen, übergeben Sie den Pfad dem Stammordner für Zertifikate. Das Cmdlet überprüft die Ordnerstruktur und löst den folgenden Fehler aus, wenn sie nicht konform ist:

    Cannot bind argument to parameter 'Path' because it is null.
    + CategoryInfo          : InvalidData: (:) [Test-Certificate], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Test-Certificate
    + PSComputerName        : xxx.xxx.xxx.xxx
    
  7. Kopieren Sie den neuen Satz der in Schritt 2 erstellten externen Ersatzzertifikate in den in Schritt 6 erstellten Ordner \Certificates\<IdentityProvider>. Stellen Sie sicher, dass Sie das cert.<regionName>.<externalFQDN>-Format für <CertName> befolgen.

    Hier sehen Sie ein Beispiel einer Ordnerstruktur für den Azure AD-Identitätsanbieter:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    
    

Drehung

Führen Sie die folgenden Schritte aus, um externe Geheimnisse zu rotieren:

  1. Verwenden Sie das folgende PowerShell-Skript, um externe Geheimnisse zu rotieren. Das Skript erfordert Zugriff auf eine Sitzung mit dem privilegierten Endpunkt (PEP). Der Zugriff auf den PEP erfolgt über eine PowerShell-Remotesitzung auf dem virtuellen Computer (VM), auf dem der PEP gehostet wird. Wenn Sie ein integriertes System verwenden, gibt es drei Instanzen des PEPs. Diese werden jeweils auf einer VM („Präfix-ERCS01“, „Präfix-ERCS02“ und „Präfix-ERCS03“) auf unterschiedlichen Hosts ausgeführt. Mit diesem Skript werden die folgenden Schritte ausgeführt:

    • Erstellt eine PowerShell-Sitzung mit dem privilegierten Endpunkt unter Verwendung des Kontos CloudAdmin und speichert die Sitzung als Variable. Diese Variable wird im nächsten Schritt als Parameter verwendet.

    • Führt Invoke-Command aus und übergibt dabei die PEP-Sitzungsvariable als -Session-Parameter.

    • Führt Start-SecretRotation in der PEP-Sitzung mit den folgenden Parametern aus. Weitere Details finden Sie in der Start-SecretRotation-Referenz:

      Parameter Variable BESCHREIBUNG
      -PfxFilesPath $CertSharePath Der Netzwerkpfad zu Ihrem Zertifikatstammordner, wie in Schritt 6 des Abschnitts „Vorbereitung“ beschrieben, z. B. \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds Das PSCredential-Objekt mit Anmeldeinformationen für die Freigabe.
      -CertificatePassword $CertPassword Eine sichere Zeichenfolge des Kennworts, das für alle erstellten PFX-Zertifikatdateien verwendet wird.
    # Create a PEP session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run secret rotation
    $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPsession -ScriptBlock {
        param($CertSharePath, $CertPassword, $CertShareCreds )
        Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
    } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
    Remove-PSSession -Session $PEPSession
    
  2. Die Rotation externer Geheimnisse dauert ca. eine Stunde. Nach erfolgreichem Abschluss wird in Ihrer Konsole eine Meldung ActionPlanInstanceID ... CurrentStatus: Completed, gefolgt von Action plan finished with status: 'Completed' angezeigt. Entfernen Sie Ihre Zertifikate aus der Freigabe, die Sie im Abschnitt „Vorbereitung“ erstellt haben, und speichern Sie sie an ihrem sicheren Sicherungsspeicherort.

    Hinweis

    Sollte bei der Geheimnisrotation ein Fehler auftreten, befolgen Sie die Anweisungen in der Fehlermeldung, und führen Sie Start-SecretRotation mit dem Parameter -ReRun erneut aus.

    Start-SecretRotation -ReRun
    

    Wenden Sie sich an den Support, falls wiederholt Fehler bei der Geheimnisrotation auftreten.

  3. Um sicherzustellen, dass alle externen Zertifikate rotiert wurden, führen Sie optional das Test-AzureStack-Überprüfungstool mithilfe des folgenden Skripts aus:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
    

Rotieren interner Geheimnisse

Interne Geheimnisse umfassen Zertifikate, Kennwörter, sichere Zeichenfolgen und Schlüssel, die von der Azure Stack Hub-Infrastruktur ohne Eingriff durch den Azure Stack Hub-Operator verwendet werden. Eine interne Geheimnisrotation ist nur dann erforderlich, wenn Sie den Verdacht haben, dass eines davon kompromittiert wurde, oder wenn Sie eine Ablaufwarnung erhalten haben.

In früheren Bereitstellungen als 1811 treten möglicherweise Warnungen für ausstehende interne Zertifikate oder Geheimnisablaufzeiten auf. Diese Warnungen sind ungenau und sollten ignoriert werden. Es handelt sich um ein bekanntes Problem, das in 1811 behoben wurde.

Führen Sie die folgenden Schritte aus, um interne Geheimnisse zu rotieren:

  1. Führen Sie das folgende PowerShell-Skript aus. Beachten Sie bei der Rotation interner Geheimnisse, dass im Abschnitt „Geheimnisrotation ausführen“ nur der Parameter -Internal mit Cmdlet Start-SecretRotation verwendet wird:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Hinweis

    Für Versionen vor 1811 ist das -Internal-Flag nicht erforderlich.

  2. Nach erfolgreichem Abschluss wird in Ihrer Konsole eine Meldung ActionPlanInstanceID ... CurrentStatus: Completed, gefolgt von Action plan finished with status: 'Completed' angezeigt.

    Hinweis

    Wenn bei der Geheimnisrotation ein Fehler auftritt, befolgen Sie die Anweisungen in der Fehlermeldung, und führen Sie Start-SecretRotation erneut mit den Parametern -Internal und -ReRun aus.

    Start-SecretRotation -Internal -ReRun
    

    Wenden Sie sich an den Support, falls wiederholt Fehler bei der Geheimnisrotation auftreten.

Rotieren des Azure Stack Hub-Stammzertifikats

Das Azure Stack Hub-Stammzertifikat wird bei der Bereitstellung mit einer Gültigkeit von fünf Jahren bereitgestellt. Ab 2108 wird beim Rotieren interner Geheimnisse auch das Stammzertifikat rotiert. Die Standardwarnung zum Geheimnisablauf identifiziert den Ablauf des Stammzertifikats und generiert Warnungen bei 90 Tagen (Warnung) und bei 30 Tagen (Kritisch).

Um das Stammzertifikat zu rotieren, müssen Sie Ihr System auf 2108 aktualisieren und das Rotieren interner Geheimnisse durchführen.

Im folgenden Codeausschnitt wird der privilegierte Endpunkt verwendet, um das Ablaufdatum des Stammzertifikats anzugeben:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -First 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Aktualisieren der BMC-Anmeldeinformationen

Der Baseboard-Verwaltungscontroller überwacht den physischen Zustand Ihrer Server. Anweisungen zur Aktualisierung des Benutzerkontonamens und Kennworts des BMC erhalten Sie vom OEM-Hardwareanbieter (Original Equipment Manufacturer, Originalgerätehersteller).

Hinweis

Der OEM stellt unter Umständen zusätzliche Verwaltungs-Apps bereit. Die Aktualisierung des Benutzernamens oder Kennworts für andere Verwaltungs-Apps wirkt sich nicht auf den BMC-Benutzernamen oder auf das BMC-Kennwort aus.

  1. Aktualisieren Sie den BMC auf den physischen Azure Stack Hub-Servern gemäß den Anweisungen des OEM. Benutzername und Kennwort für jeden BMC in Ihrer Umgebung müssen identisch sein. BMC-Benutzernamen dürfen nicht länger als 16 Zeichen sein.
  1. Es ist nicht mehr erforderlich, zuerst die BMC-Anmeldeinformationen für die physischen Azure Stack Hub-Server gemäß den OEM-Anweisungen zu aktualisieren. Benutzername und Kennwort für jeden BMC in Ihrer Umgebung müssen identisch sein und dürfen nicht mehr als 16 Zeichen enthalten.
  1. Öffnen Sie in Azure Stack Hub-Sitzungen einen privilegierten Endpunkt. Anweisungen finden Sie unter Verwenden des privilegierten Endpunkts in Azure Stack Hub.

  2. Führen Sie nach dem Öffnen einer Sitzung mit einem privilegierten Endpunkt eines der unten aufgeführten PowerShell-Skripts aus, die Invoke-Command zum Ausführen von Set-BmcCredential verwenden. Wenn Sie den optionalen Parameter -BypassBMCUpdate mit Set-BMCCredential verwenden, werden die Anmeldeinformationen im BMC nicht aktualisiert. Nur der interne Azure Stack Hub-Datenspeicher wird aktualisiert. Übergeben Sie die Sitzungsvariable des privilegierten Endpunkts als Parameter.

    Im folgenden finden Sie ein PowerShell-Beispielskript, mit dem Benutzername und Kennwort angefordert werden:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    Sie können den Benutzernamen und das Kennwort auch in Variablen codieren, was weniger sicher sein kann:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Referenz: Cmdlet „Start-SecretRotation“

Das Cmdlet Start-SecretRotation rotiert die Infrastrukturgeheimnisse eines Azure Stack Hub-Systems. Dieses Cmdlet kann nur für den privilegierten Azure Stack Hub-Endpunkt ausgeführt werden, indem ein Invoke-Command-Skriptblock verwendet wird, der die PEP-Sitzung im -Session-Parameter übergibt. Standardmäßig werden nur die Zertifikate aller externen Netzwerkinfrastruktur-Endpunkte rotiert.

Parameter Typ Erforderlich Position Standard BESCHREIBUNG
PfxFilesPath String False benannt Keine Der Dateifreigabepfad des Stammordners \Certificates mit allen externen Netzwerkendpunkt-Zertifikaten. Nur beim Rotieren externer Geheimnisse erforderlich. Pfad muss mit dem \Certificates-Ordner enden, z. B. \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword SecureString False benannt Keine Das Kennwort für alle Zertifikate in „-PfXFilesPath“. Erforderlich, wenn „PfxFilesPath“ beim Rotieren externer Geheimnisse angegeben wird.
Internal String False benannt Keine Das Internal-Flag muss immer dann verwendet werden, wenn ein Azure Stack Hub-Operator interne Infrastrukturgeheimnisse rotieren möchte.
PathAccessCredential PSCredential False benannt Keine Die PowerShell-Anmeldeinformationen für die Dateifreigabe des Verzeichnisses \Certificates mit allen externen Netzwerkendpunkt-Zertifikaten. Nur beim Rotieren externer Geheimnisse erforderlich.
ReRun SwitchParameter False benannt Keine Muss immer dann erfolgen, wenn die Geheimnisrotation nach einem fehlgeschlagenen Versuch erneut versucht wird.

Syntax

Für Rotation externer Geheimnisse

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Für Rotation interner Geheimnisse

Start-SecretRotation [-Internal]  

Für erneute Rotation externer Geheimnisse

Start-SecretRotation [-ReRun]

Für erneute Rotation interner Geheimnisse

Start-SecretRotation [-ReRun] [-Internal]

Beispiele

Nur Rotieren interner Infrastrukturgeheimnisse

Dieser Befehl muss über den privilegierten Endpunkt Ihrer Azure Stack Hub-Umgebung ausgeführt werden.

PS C:\> Start-SecretRotation -Internal

Dieser Befehl rotiert alle Infrastrukturgeheimnisse, die für das interne Azure Stack Hub-Netzwerk verfügbar gemacht wurden.

Nur Rotieren externer Infrastrukturgeheimnisse

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Dieser Befehl rotiert die TLS-Zertifikate, die für die externen Netzwerkinfrastruktur-Endpunkte von Azure Stack Hub verwendet werden.

Rotieren interner und externer Infrastrukturgeheimnisse (nur Versionen vor 1811)

Wichtig

Dieser Befehl gilt nur für Azure Stack Hub-Versionen vor 1811, da die Rotation für interne und externe Zertifikate aufgeteilt wurde.

Ab 1811 können interne und externe Zertifikate nicht mehr gemeinsam rotiert werden.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Dieser Befehl rotiert die Infrastrukturgeheimnisse, die für das interne Azure Stack Hub-Netzwerk verfügbar gemacht wurden, und die TLS-Zertifikate, die für die externen Netzwerkinfrastruktur-Endpunkte von Azure Stack Hub verwendet werden. „Start-SecretRotation“ rotiert alle von Stack generierten Geheimnisse, und da bereitgestellte Zertifikate vorhanden sind, werden auch externe Endpunktzertifikate rotiert.

Nächste Schritte

Weitere Informationen zur Sicherheit von Azure Stack Hub