Titkos kulcsok rotálása az Event Hubshoz az Azure Stack Hubon
Ez a cikk bemutatja, hogyan forgathatja el az Event Hubs erőforrás-szolgáltató által használt titkos kulcsokat.
Áttekintés és előfeltételek
Megjegyzés
Az érték hozzáadása erőforrás-szolgáltatók (RP-k) titkos kulcsainak rotálása jelenleg csak a PowerShellen keresztül támogatott. Emellett rendszeresen el kell forgatnia a titkos kulcsokat az érték hozzáadásával rendelkező RP-khez, mivel a rendszergazdai riasztások jelenleg nem jönnek létre.
Az Azure Stack Hub-infrastruktúrához hasonlóan az érték hozzáadása erőforrás-szolgáltatók belső és külső titkos kódokat is használnak. A titkos kulcsok többféle formában is használhatók, beleértve a jelszavakat és az X509-tanúsítványok által fenntartott titkosítási kulcsokat. Operátorként a következőkért felelős:
- Frissített külső titkos kulcsok, például új TLS-tanúsítvány biztosítása az erőforrás-szolgáltatói végpontok védelméhez.
- Az erőforrás-szolgáltatói titkos kulcsok rotálásának rendszeres kezelése.
A forgatási folyamat előkészítése során:
Az X509-tanúsítvány beszerzése/megújítása előtt tekintse át az Azure Stack Hub nyilvános kulcsú infrastruktúra (PKI) tanúsítványkövetelményeit , beleértve a szükséges PFX-formátum részleteit is. Tekintse át a Választható PaaS-tanúsítványok szakaszban megadott követelményeket is az adott érték hozzáadása erőforrás-szolgáltatóhoz.
Ha még nem tette meg, a folytatás előtt telepítse az Azure Stack Hubhoz készült PowerShell Az modult . Az Azure Stack Hub titkos kulcsainak rotálásához a 2.0.2-es vagy újabb verzió szükséges. További információ: Migrálás az AzureRM-ből Azure PowerShell Az-be az Azure Stack Hubban.
Új TLS-tanúsítvány előkészítése
Ezután hozza létre vagy újítsa meg a TLS-tanúsítványt az érték hozzáadása erőforrás-szolgáltató végpontok védelméhez:
Végezze el a Tanúsítvány-aláírási kérések (CSR-ek) létrehozása az erőforrás-szolgáltató tanúsítványmegújításához című szakasz lépéseit. Itt az Azure Stack Hub készenlét-ellenőrző eszközével hozza létre a CSR-t. Győződjön meg arról, hogy a megfelelő parancsmagot futtatja az erőforrás-szolgáltatóhoz a "Tanúsítványkérelmek létrehozása más Azure Stack Hub-szolgáltatásokhoz" lépésben. Például
New-AzsHubEventHubsCertificateSigningRequestaz Event Hubshoz használatos. Ha végzett, elküldi a létrehozott elemet. REQ-fájl az új tanúsítvány hitelesítésszolgáltatójához.Miután megkapta a tanúsítványfájlt a hitelesítésszolgáltatótól, végezze el a Tanúsítványok előkészítése az üzembe helyezéshez vagy a rotáláshoz című témakör lépéseit. A hitelesítésszolgáltatótól kapott fájl feldolgozásához használja ismét a Készenlét-ellenőrző eszközt.
Végül hajtsa végre az Azure Stack Hub PKI-tanúsítványainak érvényesítése című témakör lépéseit. A Készenlét-ellenőrző eszközzel még egyszer érvényesítési teszteket hajthat végre az új tanúsítványon.
Titkos kulcsok elforgatása
Végül határozza meg az erőforrás-szolgáltató legújabb üzembehelyezési tulajdonságait, és használja őket a titkos kulcsok rotálási folyamatának befejezéséhez.
Üzembehelyezési tulajdonságok meghatározása
Az erőforrás-szolgáltatók verziószámozott termékcsomagként vannak üzembe helyezve az Azure Stack Hub-környezetben. A csomagokhoz egy egyedi csomagazonosító van hozzárendelve, a következő formátumban '<product-id>.<installed-version>': . Ahol <product-id> az erőforrás-szolgáltatót jelölő egyedi sztring, és <installed-version> egy adott verziót jelöl. Az egyes csomagokhoz társított titkos kódokat az Azure Stack Hub Key Vault szolgáltatás tárolja.
Nyisson meg egy emelt szintű PowerShell-konzolt, és hajtsa végre az alábbi lépéseket az erőforrás-szolgáltató titkos kulcsainak elforgatásához szükséges tulajdonságok meghatározásához:
Jelentkezzen be az Azure Stack Hub-környezetbe az operátori hitelesítő adataival. Lásd: Csatlakozás az Azure Stack Hubhoz a PowerShell-lel a PowerShell bejelentkezési szkriptjével. Ügyeljen arra, hogy az AzureRM helyett a PowerShell Az parancsmagokat használja, és cserélje le az összes helyőrző értéket, például a végpont URL-címét és a címtárbérlő nevét.
Futtassa a
Get-AzsProductDeploymentparancsmagot a legújabb erőforrás-szolgáltatói üzemelő példányok listájának lekéréséhez. A visszaadott"value"gyűjtemény minden üzembe helyezett erőforrás-szolgáltatóhoz tartalmaz egy elemet. Keresse meg a megfelelő erőforrás-szolgáltatót, és jegyezze fel az alábbi tulajdonságok értékeit:-
"name"– az erőforrás-szolgáltató termékazonosítóját tartalmazza az érték második szegmensében. -
"properties"."deployment"."version"- a jelenleg üzembe helyezett verziószámot tartalmazza.
Az alábbi példában figyelje meg az Event Hubs RP üzembe helyezését a gyűjtemény első elemében, amelynek termékazonosítója
"microsoft.eventhub"és verziója"1.2003.0.0":PS C:\WINDOWS\system32> Get-AzsProductDeployment -AsJson VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productDeployments?api-version=2019-01-01 with 0-char payload VERBOSE: Received 2656-char response, StatusCode = OK { "value": [ { "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productDeployments/microsoft.eventhub", "name": "global/microsoft.eventhub", "type": "Microsoft.Deployment.Admin/locations/productDeployments", "properties": { "status": "DeploymentSucceeded", "subscriptionId": "bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f", "deployment": { "version": "1.2003.0.0", "actionPlanInstanceResourceId":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/actionplans/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a", "parameters": { } }, "lastSuccessfulDeployment": { "version": "1.2003.0.0", "actionPlanInstanceResourceId":"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/actionplans/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a", "parameters": { } }, "provisioningState": "Succeeded" } }, { ... } ] }-
Hozza létre az erőforrás-szolgáltató csomagazonosítóját az erőforrás-szolgáltató termékazonosítójának és verziójának összefűzésével. Az előző lépésben származtatott értékeket használva például az Event Hubs RP csomagazonosítója .
microsoft.eventhub.1.2003.0.0Az előző lépésben származtatott csomagazonosító használatával futtassa a parancsot
Get-AzsProductSecret -PackageIdaz erőforrás-szolgáltató által használt titkos kódtípusok listájának lekéréséhez. A visszaadottvaluegyűjteményben keresse meg a tulajdonság értékét"Certificate""properties"."secretKind"tartalmazó elemet. Ez az elem az RP tanúsítványtitkának tulajdonságait tartalmazza. Jegyezze fel a tanúsítványkulcshoz rendelt nevet, amelyet a tulajdonság utolsó szegmense"name"azonosít közvetlenül a felett"properties".Az alábbi példában az Event Hubs RP-hez visszaadott titkos kulcsgyűjtemény tartalmaz egy
"Certificate"nevűaseh-ssl-gateway-pfxtitkos kódot.PS C:\WINDOWS\system32> Get-AzsProductSecret -PackageId 'microsoft.eventhub.1.2003.0.0' -AsJson VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets?api-version=2019-01-01 with 0-char payload VERBOSE: Received 617-char response, StatusCode = OK { "value": [ { "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets/aseh-ssl-gateway-pfx", "name": "global/microsoft.eventhub.1.2003.0.0/aseh-ssl-gateway-pfx", "type": "Microsoft.Deployment.Admin/locations/productPackages/secrets", "properties": { "secretKind": "Certificate", "description": "Event Hubs gateway SSL certificate.", "expiresAfter": "P730D", "secretDescriptor": { }, "secretState": { "status": "Deployed", "rotationStatus": "None", "expirationDate": "2022-03-31T00:16:05.3068718Z" }, "provisioningState": "Succeeded" } }, ... ] }
A titkos kulcsok elforgatása
Set-AzsProductSecretA parancsmaggal importálja az új tanúsítványt a Key Vault, amelyet a rotációs folyamat fog használni. Cserélje le a változó helyőrző értékeit ennek megfelelően a szkript futtatása előtt:Helyőrző Description Példaérték <product-id>Az erőforrás-szolgáltató legújabb üzembe helyezésének termékazonosítója. microsoft.eventhub<installed-version>Az erőforrás-szolgáltató legújabb üzemelő példányának verziója. 1.2003.0.0<cert-secret-name>A titkos tanúsítványtitkot tároló név. aseh-ssl-gateway-pfx<cert-pfx-file-path>A tanúsítvány PFX-fájljának elérési útja. C:\dir\eh-cert-file.pfx<pfx-password>A tanúsítványhoz rendelt jelszó. PFX-fájl. strong@CertSecret6$productId = '<product-id>' $packageId = $productId + '.' + '<installed-version>' $certSecretName = '<cert-secret-name>' $pfxFilePath = '<cert-pfx-file-path>' $pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -ForceVégül a
Invoke-AzsProductRotateSecretsActionparancsmaggal forgassa el a belső és külső titkos kulcsokat:Megjegyzés
A forgatási folyamat körülbelül 3,5–4 órát vesz igénybe.
Invoke-AzsProductRotateSecretsAction -ProductId $productIdA titkos kulcsok rotálásának előrehaladását a PowerShell-konzolon vagy a felügyeleti portálon is monitorozhatja, ha kiválasztja az erőforrás-szolgáltatót a Marketplace szolgáltatásban:
Hibaelhárítás
A titkos kulcsok rotációja hiba nélkül sikeresen befejeződik. Ha a rendszergazdai portálon az alábbi feltételek bármelyikét tapasztalja, nyisson meg egy támogatási kérést :
- Hitelesítési problémák, beleértve az Event Hubs erőforrás-szolgáltatóhoz való csatlakozással kapcsolatos problémákat.
- Nem lehet frissíteni az erőforrás-szolgáltatót, vagy szerkeszteni a konfigurációs paramétereket.
- A használati metrikák nem jelennek meg.
- A számlák nem jönnek létre.
- A biztonsági mentések nem történnek.
Következő lépések
Az Azure Stack Hub-infrastruktúra titkos kulcsainak rotálásával kapcsolatos részletekért lásd: Titkos kódok rotálása az Azure Stack Hubban.