Ruotare i segreti nell'hub di Azure Stack

Questo articolo fornisce indicazioni per l'esecuzione della rotazione dei segreti per mantenere la comunicazione sicura con le risorse e i servizi dell'infrastruttura dell'hub di Azure Stack.

Panoramica

L'hub di Azure Stack usa i segreti per mantenere la sicurezza delle comunicazioni con le risorse e i servizi dell'infrastruttura. Per mantenere l'integrità dell'infrastruttura dell'hub di Azure Stack, gli operatori devono poter ruotare i segreti con frequenze coerenti con i requisiti di sicurezza dell'organizzazione.

Quando i segreti si avvicinano alla scadenza, nel portale di amministrazione vengono generati gli avvisi seguenti. Completando la rotazione dei segreti sarà possibile risolvere gli avvisi:

• Scadenza della password dell'account del servizio in sospeso
• In attesa di scadenza del certificato interno
• In attesa di scadenza del certificato esterno

Avviso

Esistono 2 fasi di avvisi attivati nel portale di amministrazione prima della scadenza:

• 90 giorni prima della scadenza viene generato un avviso di avviso.
• 30 giorni prima della scadenza viene generato un avviso critico.

È fondamentale completare la rotazione dei segreti se si ricevono queste notifiche. In caso contrario, la perdita di carichi di lavoro e la possibile ridistribuzione dell'hub di Azure Stack a spese proprie.

Per altre informazioni sul monitoraggio e la correzione degli avvisi, vedere Monitorare l'integrità e gli avvisi nell'hub di Azure Stack.

Prerequisiti

1. È consigliabile eseguire una versione supportata dell'hub di Azure Stack e applicare l'hotfix più recente disponibile per la versione dell'hub di Azure Stack in esecuzione. Ad esempio, se si esegue la versione 2008, assicurarsi di aver installato l'hotfix più recente disponibile per la versione 2008.

2. Notificare agli utenti le operazioni di manutenzione pianificata. Pianificare le normali finestre di manutenzione, il più possibile, durante gli orari non lavorativi. Le operazioni di manutenzione possono influire sia sui carichi di lavoro degli utenti che sulle operazioni del portale.

3. Generare richieste di firma del certificato per l'hub di Azure Stack.

4. Preparare i certificati PKI dell'hub di Azure Stack.

5. Durante la rotazione dei segreti, gli operatori possono notare l'apertura e la chiusura automatica degli avvisi. Questo comportamento è previsto ed è possibile ignorare gli avvisi. Gli operatori possono verificare la validità di questi avvisi usando il cmdlet Di PowerShell Test-AzureStack. Per gli operatori, l'uso di System Center Operations Manager per monitorare i sistemi dell'hub di Azure Stack, l'inserimento di un sistema in modalità di manutenzione impedirà a questi avvisi di raggiungere i sistemi ITSM. Tuttavia, gli avvisi continueranno a verificarsi se il sistema dell'hub di Azure Stack non sarà raggiungibile.

Ruotare i segreti esterni

Importante

Rotazione dei segreti esterni per:

• I segreti non certificati, ad esempio chiavi sicure e stringhe , devono essere eseguiti manualmente dall'amministratore. Sono incluse le password dell'account utente e dell'amministratore e le password del commutatore di rete.
• I segreti del provider di risorse con aggiunta di valore sono trattati in linee guida separate:
  • Servizio app nell'hub di Azure Stack
  • Hub eventi nell'hub di Azure Stack
  • MySQL nell'hub di Azure Stack
  • SQL nell'hub di Azure Stack
• Le credenziali BMC (Baseboard Management Controller) sono un processo manuale, descritto più avanti in questo articolo.
• Registro Azure Container certificati esterni è un processo manuale, descritto più avanti in questo articolo.

Questa sezione illustra la rotazione dei certificati usati per proteggere i servizi esterni. Questi certificati vengono forniti dall'operatore dell'hub di Azure Stack per i servizi seguenti:

• Portale di amministrazione
• Portale pubblico
• Amministratore di Azure Resource Manager
• Azure Resource Manager globale
• Amministratore di Key Vault
• Key Vault
• Host estensione amministrazione
• ACS (tra cui archiviazione code, BLOB e tabelle)
• ADFS¹
• Grafico¹
• Registro Container²

¹Applicabile quando si usa Active Directory Federated Services (ADFS).

²Applicabile quando si usa Registro Azure Container (Registro Azure Container).

Preparazione

Prima della rotazione dei segreti esterni:

1. Eseguire il Test-AzureStack cmdlet di PowerShell usando il -group SecretRotationReadiness parametro per verificare che tutti gli output di test siano integri prima di ruotare i segreti.

2. Preparare un nuovo set di certificati esterni sostitutivi:

   • Il nuovo set deve corrispondere alle specifiche del certificato descritte nei requisiti del certificato PKI dell'hub di Azure Stack.

   • Generare una richiesta di firma del certificato da inviare all'autorità di certificazione (CA). Usare la procedura descritta in Generare richieste di firma dei certificati e prepararle per l'uso nell'ambiente dell'hub di Azure Stack seguendo la procedura descritta in Preparare i certificati PKI. L'hub di Azure Stack supporta la rotazione dei segreti per i certificati esterni da una nuova autorità di certificazione (CA) nei contesti seguenti:

     Ruotare dalla CA	Ruotare su CA	Supporto della versione dell'hub di Azure Stack
     Self-Signed	Enterprise	1903 & successiva
     Self-Signed	Self-Signed	Non supportato
     Self-Signed	Pubblici*	1803 & versioni successive
     Enterprise	Enterprise	1803 & successivamente; 1803-1903 se LA STESSA CA aziendale usata durante la distribuzione
     Enterprise	Self-Signed	Non supportato
     Enterprise	Pubblici*	1803 & versioni successive
     Pubblici*	Enterprise	1903 & successiva
     Pubblici*	Self-Signed	Non supportato
     Pubblici*	Pubblici*	1803 & versioni successive

     ^*Parte del programma radice attendibile di Windows.

   • Assicurarsi di convalidare i certificati preparati con i passaggi descritti in Convalida certificati PKI

   • Assicurarsi che non siano presenti caratteri speciali nella password, ad esempio $,*,#,,@)or'.

   • Assicurarsi che la crittografia PFX sia TripleDES-SHA1. Se si verifica un problema, vedere Risolvere i problemi comuni relativi ai certificati PKI dell'hub di Azure Stack.

3. Archiviare un backup dei certificati usati per la rotazione in una posizione di backup sicura. Se la rotazione viene eseguita e quindi ha esito negativo, sostituire i certificati nella condivisione file con le copie di backup prima di eseguire nuovamente la rotazione. Conservare le copie di backup nella posizione di backup sicura.

4. Creare una condivisione file a cui è possibile accedere dalle macchine virtuali ERCS. La condivisione file deve essere leggibile e scrivibile per l'identità CloudAdmin .

5. Aprire una console di PowerShell ISE da un computer in cui si ha accesso alla condivisione file. Passare alla condivisione file, dove verranno create le directory in cui inserire i certificati esterni.

6. Creare una cartella nella condivisione file denominata Certificates. All'interno della cartella certificates creare una sottocartella denominata AAD o ADFS, a seconda del provider di identità usato dall'hub. Ad esempio, .\Certificates\AAD o .\Certificates\ADFS. Non devono essere create altre cartelle oltre alla cartella certificates e alla sottocartella del provider di identità.

7. Copiare il nuovo set di certificati esterni sostitutivi creati nel passaggio 2 nella cartella .\Certificates\<IdentityProvider> creata nel passaggio 6. Come indicato in precedenza, la sottocartella del provider di identità deve essere AAD o ADFS. Assicurarsi che i nomi alternativi del soggetto dei certificati esterni sostitutivi seguano il cert.<regionName>.<externalFQDN> formato specificato nei requisiti del certificato PKI (Public Key Infrastructure) dell'hub di Azure Stack.

   Ecco un esempio di struttura di cartelle per il provider di identità Microsoft Entra:

       <ShareName>
           │
           └───Certificates
                 └───AAD
                     ├───ACSBlob
                     │       <CertName>.pfx
                     │
                     ├───ACSQueue
                     │       <CertName>.pfx
                     │
                     ├───ACSTable
                     │       <CertName>.pfx
                     │
                     ├───Admin Extension Host
                     │       <CertName>.pfx
                     │
                     ├───Admin Portal
                     │       <CertName>.pfx
                     │
                     ├───ARM Admin
                     │       <CertName>.pfx
                     │
                     ├───ARM Public
                     │       <CertName>.pfx
                     │
                     ├───Container Registry*
                     │       <CertName>.pfx
                     │
                     ├───KeyVault
                     │       <CertName>.pfx
                     │
                     ├───KeyVaultInternal
                     │       <CertName>.pfx
                     │
                     ├───Public Extension Host
                     │       <CertName>.pfx
                     │
                     └───Public Portal
                             <CertName>.pfx
   

^*Applicabile quando si usa Registro Azure Container (ACR) per Microsoft Entra ID e ADFS.

Nota

Se si ruotano i certificati del Registro Container esterni, è necessario creare manualmente una Container Registry sottocartella nella sottocartella del provider di identità. Inoltre, è necessario archiviare il certificato pfx corrispondente all'interno di questa sottocartella creata manualmente.

Rotazione

Completare i passaggi seguenti per ruotare i segreti esterni:

1. Usare lo script di PowerShell seguente per ruotare i segreti. Lo script richiede l'accesso a una sessione PEP (Privileged EndPoint). Il PEP è accessibile tramite una sessione di PowerShell remota nella macchina virtuale (VM) che ospita il PEP. Se si usa un sistema integrato, sono disponibili tre istanze di PEP, ognuna in esecuzione all'interno di una macchina virtuale (Prefix-ERCS01, Prefix-ERCS02 o Prefix-ERCS03) in host diversi. Lo script esegue le operazioni seguenti:

   • Crea una sessione di PowerShell con l'endpoint con privilegi usando l'account CloudAdmin e archivia la sessione come variabile. Questa variabile viene dichiarata come parametro nel passaggio successivo.

   • Esegue Invoke-Command, passando la variabile di sessione PEP come -Session parametro .

   • Viene eseguito Start-SecretRotation nella sessione PEP usando i parametri seguenti. Per altre informazioni, vedere le informazioni di riferimento su Start-SecretRotation :

     Parametro	Variabile	Descrizione
     -PfxFilesPath	$CertSharePath	Percorso di rete della cartella radice dei certificati come descritto nel passaggio 6 della sezione Preparazione, ad esempio \\<IPAddress>\<ShareName>\Certificates.
     -PathAccessCredential	$CertShareCreds	Oggetto PSCredential per le credenziali della condivisione.
     -CertificatePassword	$CertPassword	Stringa sicura della password usata per tutti i file di certificato pfx creati.

   # Create a PEP session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run secret rotation
   $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
   $CertShareCreds = Get-Credential
   $CertSharePath = "<Network_Path_Of_CertShare>"
   Invoke-Command -Session $PEPsession -ScriptBlock {
       param($CertSharePath, $CertPassword, $CertShareCreds )
       Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
   } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
   Remove-PSSession -Session $PEPSession
   

2. La rotazione dei segreti esterni richiede circa un'ora. Al termine, nella console verrà visualizzato un ActionPlanInstanceID ... CurrentStatus: Completed messaggio, seguito da Action plan finished with status: 'Completed'. Rimuovere i certificati dalla condivisione creata nella sezione di preparazione e archiviarli nel percorso di backup sicuro.

   Nota

   Se la rotazione del segreto ha esito negativo, seguire le istruzioni nel messaggio di errore ed eseguire Start-SecretRotation di nuovo con il -ReRun parametro .

   Start-SecretRotation -ReRun
   

   Contattare il supporto tecnico se si verificano errori ripetuti di rotazione dei segreti.

3. Facoltativamente, per verificare che tutti i certificati esterni siano stati ruotati, eseguire lo strumento di convalida Test-AzureStack usando lo script seguente:

   Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
   

Ruotare i segreti interni

I segreti interni includono certificati, password, stringhe protette e chiavi usate dall'infrastruttura dell'hub di Azure Stack, senza l'intervento dell'operatore dell'hub di Azure Stack. La rotazione dei segreti interni è necessaria solo se si sospetta che ne sia stato compromesso uno o se è stato ricevuto un avviso di scadenza.

Completare i passaggi seguenti per ruotare i segreti interni:

1. Eseguire lo script PowerShell seguente. Si noti che per la rotazione interna del segreto, la sezione "Run Secret Rotation" usa solo il -Internal parametro per il cmdlet Start-SecretRotation:

   # Create a PEP Session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run Secret Rotation
   Invoke-Command -Session $PEPSession -ScriptBlock {
       Start-SecretRotation -Internal
   }
   Remove-PSSession -Session $PEPSession
   

2. Al termine, nella console verrà visualizzato un ActionPlanInstanceID ... CurrentStatus: Completed messaggio, seguito da Action plan finished with status: 'Completed'.

   Nota

   Se la rotazione dei segreti ha esito negativo, seguire le istruzioni nel messaggio di errore ed eseguire di nuovo Start-SecretRotation con i parametri -Internal e -ReRun.

   Start-SecretRotation -Internal -ReRun
   

   Contattare il supporto tecnico se si verificano errori ripetuti di rotazione dei segreti.

Ruotare il certificato radice dell'hub di Azure Stack

Il provisioning del certificato radice dell'hub di Azure Stack viene effettuato durante la distribuzione con scadenza di cinque anni. A partire dalla versione 2108, anche la rotazione interna del segreto ruota il certificato radice. L'avviso di scadenza del segreto standard identifica la scadenza del certificato radice e genera avvisi sia a 90 (avviso) che a 30 giorni (critici).

Per ruotare il certificato radice, è necessario aggiornare il sistema a 2108 ed eseguire la rotazione interna dei segreti.

Il frammento di codice seguente usa l'endpoint con privilegi per elencare la data di scadenza del certificato radice:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Aggiornare le credenziali BMC

Il controller di gestione della scheda di base monitora lo stato fisico dei server. Per istruzioni su come aggiornare il nome dell'account utente e la password del BMC, fare riferimento al fornitore di hardware OEM (Original Equipment Manufacturer).

Nota

L'OEM può fornire app di gestione aggiuntive. L'aggiornamento del nome utente o della password per altre app di gestione non ha alcun effetto sul nome utente o sulla password BMC.

1. Non è più necessario aggiornare prima le credenziali BMC nei server fisici dell'hub di Azure Stack seguendo le istruzioni OEM. Il nome utente e la password per ogni BMC nell'ambiente devono essere uguali e non possono superare i 16 caratteri.

2. Aprire un endpoint con privilegi nelle sessioni dell'hub di Azure Stack. Per istruzioni, vedere Uso dell'endpoint con privilegi nell'hub di Azure Stack.

3. Dopo aver aperto una sessione di endpoint con privilegi, eseguire uno degli script di PowerShell seguenti, che usano Invoke-Command per eseguire Set-BmcCredential. Se si usa il parametro facoltativo -BypassBMCUpdate con Set-BMCCredential, le credenziali nel BMC non vengono aggiornate. Viene aggiornato solo l'archivio dati interno dell'hub di Azure Stack. Passare la variabile di sessione dell'endpoint con privilegi come parametro.

   Ecco un esempio di script di PowerShell che richiederà il nome utente e la password:

   # Interactive Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
   $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
   $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

   È anche possibile codificare il nome utente e la password nelle variabili, che potrebbero essere meno sicure:

   # Static Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
   $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
   $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
   $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
   $NewBmcUser = "<New BMC User name>"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

Riferimento: cmdlet Start-SecretRotation

Il cmdlet Start-SecretRotation ruota i segreti dell'infrastruttura di un sistema hub di Azure Stack. Questo cmdlet può essere eseguito solo nell'endpoint con privilegi dell'hub di Azure Stack usando un Invoke-Command blocco di script che passa la sessione PEP nel -Session parametro. Per impostazione predefinita, ruota solo i certificati di tutti gli endpoint dell'infrastruttura di rete esterna.

Parametro	Tipo	Necessario	Position	Predefinito	Descrizione
PfxFilesPath	string	Falso	denominata	Nessuno	Percorso di condivisione file della cartella radice \Certificate contenente tutti i certificati dell'endpoint di rete esterni. È necessario solo quando si ruotano segreti esterni. Il percorso deve terminare con la cartella \Certificates, ad esempio \\<IPAddress>\ShareName>\<Certificates.
CertificatePassword	SecureString	Falso	denominata	Nessuno	Password per tutti i certificati forniti in -PfXFilesPath. Valore obbligatorio se PfxFilesPath viene fornito quando vengono ruotati i segreti esterni.
Internal	string	Falso	denominata	Nessuno	Il flag interno deve essere usato in qualsiasi momento in cui un operatore dell'hub di Azure Stack vuole ruotare i segreti dell'infrastruttura interna.
PathAccessCredential	PSCredential	Falso	denominata	Nessuno	Credenziali di PowerShell per la condivisione file della directory \Certificates contenente tutti i certificati dell'endpoint di rete esterni. È necessario solo quando si ruotano segreti esterni.
ReRun	SwitchParameter	Falso	denominata	Nessuno	Deve essere usato ogni volta che la rotazione del segreto viene rivalutata dopo un tentativo non riuscito.

Sintassi

Per la rotazione del segreto esterno

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Per la rotazione interna del segreto

Start-SecretRotation [-Internal]  

Per la rotazione del segreto esterno rieseguire

Start-SecretRotation [-ReRun]

Per rieseguire la rotazione interna del segreto

Start-SecretRotation [-ReRun] [-Internal]

Esempio

Ruotare solo i segreti dell'infrastruttura interna

Questo comando deve essere eseguito tramite l'endpoint con privilegi dell'ambiente dell'hub di Azure Stack.

PS C:\> Start-SecretRotation -Internal

Questo comando ruota tutti i segreti dell'infrastruttura esposti alla rete interna dell'hub di Azure Stack.

Ruotare solo i segreti dell'infrastruttura esterna

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Questo comando ruota i certificati TLS usati per gli endpoint dell'infrastruttura di rete esterna dell'hub di Azure Stack.

Passaggi successivi

Altre informazioni sulla sicurezza dell'hub di Azure Stack