Rotacja wpisów tajnych w usłudze Azure Stack Hub
Ten artykuł zawiera wskazówki dotyczące przeprowadzania rotacji wpisów tajnych w celu zapewnienia bezpiecznej komunikacji z zasobami i usługami infrastruktury usługi Azure Stack Hub.
Omówienie
Usługa Azure Stack Hub używa wpisów tajnych do zapewnienia bezpiecznej komunikacji z zasobami i usługami infrastruktury. Aby zachować integralność infrastruktury usługi Azure Stack Hub, operatorzy muszą mieć możliwość rotacji wpisów tajnych z częstotliwościami zgodnymi z wymaganiami dotyczącymi zabezpieczeń organizacji.
Gdy wpisy tajne zbliżają się do wygaśnięcia, następujące alerty są generowane w portalu administratora. Ukończenie rotacji wpisów tajnych rozwiąże następujące alerty:
- Oczekiwanie na wygaśnięcie hasła konta usługi
- Oczekiwanie na wygaśnięcie certyfikatu wewnętrznego
- Oczekiwanie na wygaśnięcie certyfikatu zewnętrznego
Ostrzeżenie
Przed wygaśnięciem w portalu administratora są wyzwalane 2 fazy alertów:
- 90 dni przed wygenerowaniem alertu ostrzegawczego.
- 30 dni przed wygaśnięciem zostanie wygenerowany alert krytyczny.
Jeśli otrzymasz te powiadomienia, ważne jest, aby ukończyć rotację wpisów tajnych. Nie można to zrobić, może spowodować utratę obciążeń i możliwe ponowne wdrożenie usługi Azure Stack Hub na własny koszt!
Aby uzyskać więcej informacji na temat monitorowania i korygowania alertów, zobacz Monitorowanie kondycji i alertów w usłudze Azure Stack Hub.
Uwaga
Środowiska usługi Azure Stack Hub w wersjach przed 1811 mogą wyświetlać alerty dotyczące oczekujących wewnętrznych certyfikatów lub wygasania wpisów tajnych. Te alerty są niedokładne i powinny być ignorowane bez uruchamiania wewnętrznej rotacji wpisów tajnych. Niedokładne wewnętrzne alerty wygasania wpisów tajnych są znanym problemem, który został rozwiązany w wersji 1811. Wpisy tajne wewnętrzne nie wygasają, chyba że środowisko jest aktywne przez dwa lata.
Wymagania wstępne
Zdecydowanie zaleca się uruchomienie obsługiwanej wersji usługi Azure Stack Hub i zastosowanie najnowszej dostępnej poprawki dla używanej wersji usługi Azure Stack Hub. Jeśli na przykład korzystasz z wersji 2008, upewnij się, że zainstalowano najnowszą poprawkę dostępną dla wersji 2008.
Ważne
W przypadku wersji wstępnej 1811:
- Jeśli rotacja wpisów tajnych została już wykonana, należy zaktualizować do wersji 1811 lub nowszej przed ponownym wykonaniem rotacji wpisów tajnych. Rotacja wpisów tajnych musi być wykonywana za pośrednictwem uprzywilejowanego punktu końcowego i wymaga poświadczeń operatora usługi Azure Stack Hub. Jeśli nie wiesz, czy rotacja wpisów tajnych została uruchomiona w środowisku, zaktualizuj do wersji 1811 przed wykonaniem rotacji wpisów tajnych.
- Nie musisz obracać wpisów tajnych, aby dodać certyfikaty hosta rozszerzenia. Postępuj zgodnie z instrukcjami w artykule Przygotowywanie hosta rozszerzenia dla usługi Azure Stack Hub w celu dodania certyfikatów hosta rozszerzenia.
Powiadom użytkowników o planowanych operacjach konserwacji. Zaplanuj normalne okna obsługi, jak najwięcej, w godzinach pracy. Operacje konserwacji mogą mieć wpływ zarówno na obciążenia użytkownika, jak i operacje portalu.
Generowanie żądań podpisywania certyfikatów dla usługi Azure Stack Hub.
Podczas rotacji wpisów tajnych operatory mogą zauważyć, że alerty są otwierane i automatycznie zamykane. Jest to oczekiwane zachowanie, a wyświetlane alerty można zignorować. Operatorzy mogą zweryfikować ważność tych alertów przy użyciu polecenia cmdlet Test-AzureStack PowerShell. W przypadku operatorów używanie programu System Center Operations Manager do monitorowania systemów usługi Azure Stack Hub spowoduje, że umieszczenie systemu w trybie konserwacji uniemożliwi tym alertom dotarcie do systemów ITSM. Jednak alerty będą nadal dostępne, jeśli system usługi Azure Stack Hub stanie się niemożliwy do osiągnięcia.
Obracanie wpisów tajnych zewnętrznych
Ważne
Rotacja wpisów tajnych zewnętrznych dla:
- Wpisy tajne innych niż certyfikaty, takie jak bezpieczne klucze i ciągi , muszą być wykonywane ręcznie przez administratora. Obejmuje to hasła użytkowników i konta administratora oraz hasła przełącznika sieciowego.
- Wpisy tajne dostawcy zasobów dodawania wartości (RP) są objęte oddzielnymi wskazówkami:
- Poświadczenia kontrolera zarządzania płytą bazową (BMC) to proces ręczny, opisany w dalszej części tego artykułu.
- Azure Container Registry certyfikaty zewnętrzne są procesem ręcznym, opisanym w dalszej części tego artykułu.
W tej sekcji opisano rotację certyfikatów używanych do zabezpieczania usług zewnętrznych. Te certyfikaty są udostępniane przez operatora usługi Azure Stack Hub dla następujących usług:
- Portal administratora
- Portal publiczny
- Administrator platformy Azure Resource Manager
- Globalna usługa Azure Resource Manager
- Key Vault administratora
- Key Vault
- host rozszerzenia Administracja
- ACS (w tym obiekt blob, tabela i magazyn kolejek)
- ADFS1
- Wykres1
- Container Registry2
1Dotyczy korzystania z usług Federacyjnych w usłudze Active Directory (ADFS).
2Dotyczy używania Azure Container Registry (ACR).
Przygotowanie
Przed rotacją wpisów tajnych zewnętrznych:
Test-AzureStack
Uruchom polecenie cmdlet programu PowerShell przy użyciu parametru-group SecretRotationReadiness
, aby potwierdzić, że wszystkie dane wyjściowe testu są w dobrej kondycji przed rotacją wpisów tajnych.Przygotuj nowy zestaw zastępczych certyfikatów zewnętrznych:
Nowy zestaw musi być zgodny ze specyfikacjami certyfikatów opisanymi w wymaganiach dotyczących certyfikatów PKI usługi Azure Stack Hub.
Wygeneruj żądanie podpisania certyfikatu (CSR) do przesłania do urzędu certyfikacji. Wykonaj kroki opisane w temacie Generowanie żądań podpisywania certyfikatów i przygotuj je do użycia w środowisku usługi Azure Stack Hub, wykonując kroki opisane w temacie Przygotowywanie certyfikatów PKI. Usługa Azure Stack Hub obsługuje rotację wpisów tajnych dla certyfikatów zewnętrznych z nowego urzędu certyfikacji w następujących kontekstach:
Obracanie z urzędu certyfikacji Obracanie do urzędu certyfikacji Obsługa wersji usługi Azure Stack Hub Self-Signed Przedsiębiorstwa 1903 & później Self-Signed Self-Signed Nieobsługiwane Self-Signed Publiczne* 1803 & później Przedsiębiorstwa Przedsiębiorstwa 1803 & później; 1803–1903, jeśli ten sam urząd certyfikacji przedsiębiorstwa, który był używany we wdrożeniu Przedsiębiorstwa Self-Signed Nieobsługiwane Przedsiębiorstwa Publiczne* 1803 & później Publiczne* Przedsiębiorstwa 1903 & później Publiczne* Self-Signed Nieobsługiwane Publiczne* Publiczne* 1803 & później Pamiętaj, aby zweryfikować przygotowane certyfikaty, wykonując kroki opisane w temacie Weryfikowanie certyfikatów PKI
Upewnij się, że w haśle nie ma żadnych znaków specjalnych, takich
$
jak ,*
,#
,,@
,or
)".Upewnij się, że szyfrowanie PFX ma wartość TripleDES-SHA1. Jeśli wystąpi problem, zobacz Rozwiązywanie typowych problemów z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub.
Zapisz kopię zapasową certyfikatów używanych do rotacji w bezpiecznej lokalizacji kopii zapasowej. Jeśli rotacja zostanie uruchomiona, a następnie zakończy się niepowodzeniem, przed ponownym uruchomieniem rotacji zastąp certyfikaty w udziałach plików kopiami zapasowymi. Zachowaj kopie zapasowe w bezpiecznej lokalizacji kopii zapasowej.
Utwórz udział plików, do którego można uzyskać dostęp z maszyn wirtualnych ERCS. Udział plików musi być czytelny i zapisywalny dla tożsamości CloudAdmin .
Otwórz konsolę programu PowerShell ISE z komputera, na którym masz dostęp do udziału plików. Przejdź do udziału plików, w którym tworzysz katalogi, aby umieścić certyfikaty zewnętrzne.
Utwórz folder w udziale plików o nazwie
Certificates
. W folderze certificates utwórz podfolder o nazwieAAD
lubADFS
, w zależności od dostawcy tożsamości używanego przez centrum. Na przykład .\Certificates\AAD lub .\Certificates\ADFS. W tym miejscu nie powinny być tworzone żadne inne foldery oprócz folderu certyfikatów i podfolder dostawcy tożsamości.Skopiuj nowy zestaw zastępczych certyfikatów zewnętrznych utworzonych w kroku 2 do folderu .\Certificates\<IdentityProvider> utworzonego w kroku 6. Jak wspomniano powyżej, podfolder dostawcy tożsamości musi mieć
AAD
wartość lubADFS
. Upewnij się, że alternatywne nazwy podmiotów (SAN) zastępczych certyfikatów zewnętrznych są zgodne z formatemcert.<regionName>.<externalFQDN>
określonym w wymaganiach dotyczących certyfikatów infrastruktury kluczy publicznych (PKI) usługi Azure Stack Hub.Oto przykład struktury folderów dostawcy tożsamości Microsoft Entra:
<ShareName> │ └───Certificates └───AAD ├───ACSBlob │ <CertName>.pfx │ ├───ACSQueue │ <CertName>.pfx │ ├───ACSTable │ <CertName>.pfx │ ├───Admin Extension Host │ <CertName>.pfx │ ├───Admin Portal │ <CertName>.pfx │ ├───ARM Admin │ <CertName>.pfx │ ├───ARM Public │ <CertName>.pfx │ ├───Container Registry* │ <CertName>.pfx │ ├───KeyVault │ <CertName>.pfx │ ├───KeyVaultInternal │ <CertName>.pfx │ ├───Public Extension Host │ <CertName>.pfx │ └───Public Portal <CertName>.pfx
*Ma zastosowanie w przypadku korzystania z usługi Azure Container Registry (ACR) dla identyfikatorów Microsoft Entra i usług AD FS.
Uwaga
W przypadku rotacji zewnętrznych certyfikatów usługi Container Registry należy ręcznie utworzyć Container Registry
podfolder w podfolderze dostawcy tożsamości. Ponadto należy przechowywać odpowiedni certyfikat pfx w tym ręcznie utworzonym podfolderze.
Wymiana
Wykonaj następujące kroki, aby obrócić zewnętrzne wpisy tajne:
Użyj następującego skryptu programu PowerShell, aby obrócić wpisy tajne. Skrypt wymaga dostępu do sesji privileged EndPoint (PEP). Dostęp do pep jest uzyskiwany za pośrednictwem zdalnej sesji programu PowerShell na maszynie wirtualnej, która hostuje pep. Jeśli używasz zintegrowanego systemu, istnieją trzy wystąpienia pep, z których każdy działa na maszynie wirtualnej (Prefix-ERCS01, Prefix-ERCS02 lub Prefix-ERCS03) na różnych hostach. Skrypt wykonuje następujące kroki:
Tworzy sesję programu PowerShell z uprzywilejowanym punktem końcowym przy użyciu konta CloudAdmin i zapisuje sesję jako zmienną. Ta zmienna jest używana jako parametr w następnym kroku.
Uruchamia invoke-command, przekazując zmienną sesji PEP jako
-Session
parametr.Uruchamia się
Start-SecretRotation
w sesji PEP przy użyciu następujących parametrów. Aby uzyskać więcej informacji, zobacz Start-SecretRotation reference (Informacje o funkcji Start-SecretRotation ):Parametr Zmienna Opis -PfxFilesPath
$CertSharePath Ścieżka sieciowa do folderu głównego certyfikatów, zgodnie z opisem w kroku 6 sekcji Przygotowywanie, na przykład \\<IPAddress>\<ShareName>\Certificates
.-PathAccessCredential
$CertShareCreds Obiekt PSCredential dla poświadczeń do udziału. -CertificatePassword
$CertPassword Bezpieczny ciąg hasła używany dla wszystkich utworzonych plików certyfikatów pfx.
# Create a PEP session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run secret rotation $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force $CertShareCreds = Get-Credential $CertSharePath = "<Network_Path_Of_CertShare>" Invoke-Command -Session $PEPsession -ScriptBlock { param($CertSharePath, $CertPassword, $CertShareCreds ) Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds) Remove-PSSession -Session $PEPSession
Rotacja wpisów tajnych zewnętrznych trwa około godziny. Po pomyślnym zakończeniu w konsoli zostanie wyświetlony
ActionPlanInstanceID ... CurrentStatus: Completed
komunikat, po którym następujeAction plan finished with status: 'Completed'
. Usuń certyfikaty z udziału utworzonego w sekcji Przygotowywanie i zapisz je w bezpiecznej lokalizacji kopii zapasowej.Uwaga
Jeśli rotacja wpisu tajnego nie powiedzie się, postępuj zgodnie z instrukcjami w komunikacie o błędzie i uruchom
Start-SecretRotation
ponownie parametr .-ReRun
Start-SecretRotation -ReRun
Jeśli wystąpią powtarzające się błędy rotacji wpisów tajnych, skontaktuj się z pomocą techniczną.
Opcjonalnie, aby potwierdzić, że wszystkie certyfikaty zewnętrzne zostały obrócone, uruchom narzędzie do weryfikacji Test-AzureStack przy użyciu następującego skryptu:
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
Obracanie wewnętrznych wpisów tajnych
Wewnętrzne wpisy tajne obejmują certyfikaty, hasła, bezpieczne ciągi i klucze używane przez infrastrukturę usługi Azure Stack Hub bez interwencji operatora usługi Azure Stack Hub. Rotacja wewnętrzna wpisów tajnych jest wymagana tylko wtedy, gdy podejrzewasz, że jeden z nich został naruszony lub gdy otrzymano alert o wygaśnięciu.
Wdrożenia przed 1811 mogą wyświetlać alerty dotyczące oczekiwania na wygaśnięcie certyfikatu wewnętrznego lub wpisu tajnego. Te alerty są niedokładne i powinny być ignorowane i są znanym problemem rozwiązanym w wersji 1811.
Wykonaj następujące kroki, aby obrócić wewnętrzne wpisy tajne:
Uruchom następujący skrypt programu PowerShell. Zwróć uwagę na wewnętrzną rotację wpisów tajnych sekcja "Run Secret Rotation" używa tylko parametru
-Internal
do polecenia cmdlet Start-SecretRotation:# Create a PEP Session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run Secret Rotation Invoke-Command -Session $PEPSession -ScriptBlock { Start-SecretRotation -Internal } Remove-PSSession -Session $PEPSession
Uwaga
Wersje wcześniejsze niż 1811 nie wymagają flagi
-Internal
.Po pomyślnym zakończeniu w konsoli zostanie wyświetlony
ActionPlanInstanceID ... CurrentStatus: Completed
komunikat, po którym następujeAction plan finished with status: 'Completed'
.Uwaga
Jeśli rotacja wpisu tajnego nie powiedzie się, postępuj zgodnie z instrukcjami w komunikacie o błędzie i ponownie uruchom polecenie
Start-SecretRotation
z parametrami-Internal
i-ReRun
.Start-SecretRotation -Internal -ReRun
Jeśli wystąpią powtarzające się błędy rotacji wpisów tajnych, skontaktuj się z pomocą techniczną.
Obracanie certyfikatu głównego usługi Azure Stack Hub
Certyfikat główny usługi Azure Stack Hub jest aprowizowany podczas wdrażania z wygaśnięciem pięciu lat. Począwszy od wersji 2108, wewnętrzna rotacja wpisów tajnych również obraca certyfikat główny. Standardowy alert wygaśnięcia wpisu tajnego identyfikuje wygaśnięcie certyfikatu głównego i generuje alerty w ciągu 90 (ostrzeżenie) i 30 (krytycznych) dni.
Aby obrócić certyfikat główny, należy zaktualizować system do wersji 2108 i wykonać wewnętrzną rotację wpisów tajnych.
Poniższy fragment kodu używa uprzywilejowanego punktu końcowego, aby wyświetlić datę wygaśnięcia certyfikatu głównego:
$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }
$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan
Aktualizowanie poświadczenia kontrolera BMC
Kontroler zarządzania płytą główną monitoruje stan fizyczny serwerów. Aby uzyskać instrukcje dotyczące aktualizowania nazwy konta użytkownika i hasła kontrolera BMC, zapoznaj się z dostawcą sprzętu oryginalnego sprzętu (OEM).
Uwaga
OEM może udostępniać dodatkowe aplikacje do zarządzania. Aktualizowanie nazwy użytkownika lub hasła dla innych aplikacji do zarządzania nie ma wpływu na nazwę użytkownika ani hasło kontrolera BMC.
- Zaktualizuj kontroler BMC na serwerach fizycznych usługi Azure Stack Hub, postępując zgodnie z instrukcjami producenta OEM. Nazwa użytkownika i hasło dla każdego kontrolera BMC w środowisku muszą być takie same. Nazwy użytkowników kontrolera BMC nie mogą przekraczać 16 znaków.
- Nie jest już wymagane, aby najpierw zaktualizować poświadczenia kontrolera BMC na serwerach fizycznych usługi Azure Stack Hub, postępując zgodnie z instrukcjami producenta OEM. Nazwa użytkownika i hasło dla każdego kontrolera BMC w środowisku muszą być takie same i nie mogą przekraczać 16 znaków.
Otwórz uprzywilejowany punkt końcowy w sesjach usługi Azure Stack Hub. Aby uzyskać instrukcje, zobacz Using the privileged endpoint in Azure Stack Hub (Korzystanie z uprzywilejowanego punktu końcowego w usłudze Azure Stack Hub).
Po otwarciu sesji uprzywilejowanego punktu końcowego uruchom jeden z poniższych skryptów programu PowerShell, które używają Invoke-Command do uruchomienia polecenia Set-BmcCredential. Jeśli używasz opcjonalnego parametru -BypassBMCUpdate z parametrem Set-BMCCredential, poświadczenia w kontrolerze BMC nie są aktualizowane. Zaktualizowano tylko wewnętrzny magazyn danych usługi Azure Stack Hub. Przekaż zmienną sesji uprzywilejowanego punktu końcowego jako parametr.
Oto przykładowy skrypt programu PowerShell, który wyświetli monit o podanie nazwy użytkownika i hasła:
# Interactive Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials" $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString $NewBmcUser = Read-Host -Prompt "Enter New BMC user name" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Możesz również zakodować nazwę użytkownika i hasło w zmiennych, co może być mniej bezpieczne:
# Static Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>" $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd) $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force $NewBmcUser = "<New BMC User name>" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Dokumentacja: polecenie cmdlet Start-SecretRotation
Polecenie cmdlet Start-SecretRotation obraca wpisy tajne infrastruktury systemu usługi Azure Stack Hub. To polecenie cmdlet można wykonać tylko względem uprzywilejowanego punktu końcowego usługi Azure Stack Hub przy użyciu Invoke-Command
bloku skryptu przekazującego sesję PEP w parametrze -Session
. Domyślnie obraca tylko certyfikaty wszystkich punktów końcowych infrastruktury sieci zewnętrznej.
Parametr | Typ | Wymagane | Position | Domyślny | Opis |
---|---|---|---|---|---|
PfxFilesPath |
Ciąg | Fałsz | O nazwie | Brak | Ścieżka udziału plików do folderu głównego \Certificates zawierającego wszystkie certyfikaty zewnętrznego punktu końcowego sieci. Wymagane tylko w przypadku rotacji wpisów tajnych zewnętrznych. Ścieżka musi kończyć się folderem \Certificates , na przykład \\<IPAddress>\<ShareName>\Certificates. |
CertificatePassword |
Securestring | Fałsz | O nazwie | Brak | Hasło dla wszystkich certyfikatów podanych w pliku -PfXFilesPath. Wymagana wartość, jeśli parametr PfxFilesPath jest udostępniany podczas rotacji wpisów tajnych zewnętrznych. |
Internal |
Ciąg | Fałsz | O nazwie | Brak | Flaga wewnętrzna musi być używana w dowolnym momencie, gdy operator usługi Azure Stack Hub chce wymieniać wewnętrzne wpisy tajne infrastruktury. |
PathAccessCredential |
PSCredential | Fałsz | O nazwie | Brak | Poświadczenie programu PowerShell dla udziału plików katalogu \Certificates zawierającego wszystkie zewnętrzne certyfikaty punktu końcowego sieci. Wymagane tylko w przypadku rotacji wpisów tajnych zewnętrznych. |
ReRun |
SwitchParameter | Fałsz | O nazwie | Brak | Należy użyć w dowolnym momencie ponownego obrotu wpisu tajnego po nieudanej próbie. |
Składnia
W przypadku rotacji wpisów tajnych zewnętrznych
Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]
W przypadku rotacji wpisów tajnych wewnętrznych
Start-SecretRotation [-Internal]
W przypadku ponownego uruchomienia zewnętrznego rotacji wpisów tajnych
Start-SecretRotation [-ReRun]
W przypadku ponownego uruchomienia wewnętrznego rotacji wpisów tajnych
Start-SecretRotation [-ReRun] [-Internal]
Przykłady
Obracanie tylko wewnętrznych wpisów tajnych infrastruktury
To polecenie musi być uruchamiane za pośrednictwem uprzywilejowanego punktu końcowego środowiska usługi Azure Stack Hub.
PS C:\> Start-SecretRotation -Internal
To polecenie obraca wszystkie wpisy tajne infrastruktury uwidocznione w sieci wewnętrznej usługi Azure Stack Hub.
Obracanie tylko wpisów tajnych infrastruktury zewnętrznej
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
param($CertSharePath, $CertPassword, $CertShareCreds )
Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession
To polecenie obraca certyfikaty TLS używane dla zewnętrznych punktów końcowych infrastruktury sieciowej usługi Azure Stack Hub.
Obracanie wewnętrznych i zewnętrznych wpisów tajnych infrastruktury (tylko przed 1811 )
Ważne
To polecenie dotyczy tylko usługi Azure Stack Hub przed 1811 , ponieważ rotacja została podzielona dla certyfikatów wewnętrznych i zewnętrznych.
Z wersji 1811+ nie można już obracać certyfikatów wewnętrznych i zewnętrznych.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession
To polecenie obraca wpisy tajne infrastruktury uwidocznione w sieci wewnętrznej usługi Azure Stack Hub oraz certyfikaty TLS używane dla punktów końcowych infrastruktury sieci zewnętrznej usługi Azure Stack Hub. Start-SecretRotation obraca wszystkie wpisy tajne generowane przez stos, a ponieważ są udostępniane certyfikaty, zewnętrzne certyfikaty punktu końcowego również zostaną obracane.
Następne kroki
Dowiedz się więcej o zabezpieczeniach usługi Azure Stack Hub