Rotieren von Geheimnissen in Azure Stack Hub
Dieser Artikel enthält Anleitungen zur Durchführung der Geheimnisrotation, um die sichere Kommunikation mit Azure Stack Hub-Infrastrukturressourcen und -diensten zu gewährleisten.
Übersicht
Azure Stack Hub verwendet Geheimnisse, um eine sichere Kommunikation mit Infrastrukturressourcen und -diensten zu gewährleisten. Um die Integrität der Azure Stack Hub-Infrastruktur zu erhalten, müssen Operatoren die Geheimnisse mit einer Häufigkeit rotieren können, die mit den Sicherheitsanforderungen ihrer Organisation in Einklang steht.
Für Geheimnisse, deren Ablauf bald bevorsteht, werden im Administratorportal folgende Benachrichtigungen generiert. Diese Warnungen lassen sich durch das Durchführen einer Geheimnisrotation beheben:
- Pending service account password expiration (Bevorstehender Ablauf eines Dienstkontokennworts)
- Pending internal certificate expiration (Bevorstehender Ablauf eines internen Zertifikats)
- Pending external certificate expiration (Bevorstehender Ablauf eines externen Zertifikats)
Warnung
Es gibt 2 Phasen für Benachrichtigungen, die vor dem Ablauf im Administratorportal generiert werden:
- 90 Tage vor dem Ablauf wird eine Warnmeldung generiert.
- 30 Tage vor dem Ablauf wird eine kritische Warnung generiert.
Es ist von entscheidender Bedeutung, das Sie das Rotieren von Geheimnissen ausführen, wenn Sie diese Benachrichtigungen erhalten. Wenn Sie die Durchführung versäumen, kann dies zum Verlust von Workloads führen und möglicherweise eine Neubereitstellung von Azure Stack Hub auf Ihre Kosten nach sich ziehen!
Weitere Informationen zur Überwachung und Behebung von Warnungen finden Sie unter Überwachen von Integrität und Warnungen im Azure Stack Hub.
Hinweis
In Azure Stack Hub-Umgebungen mit Versionen vor 1811 treten möglicherweise Warnungen zum bevorstehenden Ablauf von internen Zertifikaten oder Geheimnissen auf. Diese Warnungen sind ungenau und sollten ohne interne Geheimnisrotation ignoriert werden. Falsche Warnungen im Zusammenhang mit dem Ablauf interner Geheimnisse sind ein bekanntes Problem, das in 1811 behoben wurde. Interne Geheimnisse laufen erst ab, wenn die Umgebung für zwei Jahre aktiv war.
Voraussetzungen
Es wird dringend empfohlen, eine unterstützte Version von Azure Stack Hub auszuführen und den neuesten verfügbaren Hotfix für die Azure Stack Hub-Version anzuwenden, die Ihre Instanz ausführt. Wenn Sie beispielsweise 2008 ausführen, stellen Sie sicher, dass Sie den neuesten Hotfix installiert haben, der für 2008 verfügbar ist.
Wichtig
Für Versionen vor 1811:
- Wenn die Geheimnisrotation bereits durchgeführt wurde, müssen Sie auf Version 1811 oder höher aktualisieren, bevor Sie die Geheimnisrotation erneut ausführen. Die Geheimnisrotation muss über den privilegierten Endpunkt ausgeführt werden und erfordert Anmeldeinformationen für einen Azure Stack Hub-Operator. Wenn Sie nicht wissen, ob die Geheimnisrotation für Ihre Umgebung ausgeführt wurde, aktualisieren Sie vor dem Ausführen der Geheimnisrotation auf Version 1811.
- Zum Hinzufügen von Erweiterungshostzertifikaten muss keine Geheimnisrotation durchgeführt werden. Befolgen Sie die Anweisungen im Artikel Vorbereiten auf den Erweiterungshost für Azure Stack Hub, um Erweiterungshostzertifikate hinzuzufügen.
Informieren Sie Ihre Benutzer über geplante Wartungsmaßnahmen. Planen Sie normale Wartungszeitfenster möglichst außerhalb der Geschäftszeiten. Wartungsvorgänge können sowohl Benutzerworkloads als auch Portalvorgänge beeinträchtigen.
Generieren Sie Zertifikatsignaturanforderungen für Azure Stack Hub.
Operatoren wird auffallen, dass während der Geheimnisrotation Warnungen geöffnet und automatisch wieder geschlossen werden. Dieses Verhalten ist zu erwarten, und die Warnungen können ignoriert werden. Operatoren können die Gültigkeit dieser Warnungen durch Verwenden des Cmdlets Test-AzureStack PowerShell überprüfen. Bei Operatoren, die System Center Operations Manager zum Überwachen von Azure Stack Hub-Systemen verwenden, verhindert das Platzieren eines Systems im Wartungsmodus, dass diese Warnungen ihre ITSM-Systeme erreichen. Warnungen werden jedoch weiterhin angezeigt, wenn das Azure Stack Hub-System nicht erreichbar ist.
Rotieren externer Geheimnisse
Wichtig
Rotation externer Geheimnisse für:
- Geheimnisse ohne Zertifikat wie sichere Schlüssel und Zeichenfolgen muss vom Administrator manuell durchgeführt werden. Dies schließt Kennwörter für Benutzer- und Administratorkonten sowie Netzwerkswitchkennwörter ein.
- Geheime Schlüssel des Wert-Add-Ressourcenanbieters (Value-Add Resource Provider, RP) werden unter separaten Anleitungen behandelt:
- Die Anmeldeinformationen des Baseboard-Verwaltungscontrollers (Baseboard Management Controller, BMC) sind ein manueller Prozess, der weiter unten in diesem Artikel behandelt wird.
- Externe Azure Container Registry-Zertifikate sind ein manueller Prozess, der weiter unten in diesem Artikel behandelt wird.
In diesem Abschnitt wird die Rotation von Zertifikaten behandelt, die zum Sichern extern verfügbarer Dienste verwendet werden. Diese Zertifikate werden vom Azure Stack Hub-Operator für die folgenden Dienste bereitgestellt:
- Administratorportal
- Öffentliches Portal
- Azure Resource Manager (Administrator)
- Azure Resource Manager (global)
- Key Vault-Administrator
- Key Vault
- Administratorerweiterungshost
- ACS (einschließlich Blob, Table und Queue Storage)
- ADFS1
- Diagramm1
- Containerregistrierung2
1Gilt für die Verwendung von Active Directory-Verbunddiensten (ADFS).
2Anwendbar bei Verwendung der Azure Container Registry (ACR).
Vorbereitung
Vor der Rotation externer Geheimnisse:
Führen Sie das
Test-AzureStack
-PowerShell-Cmdlet mithilfe des-group SecretRotationReadiness
-Parameters aus, um zu bestätigen, dass alle Testausgaben fehlerfrei sind, bevor Sie Geheimnisse rotieren.Bereiten Sie eine neue Gruppe externer Ersatzzertifikate vor:
Die neue Gruppe muss den Zertifikatspezifikationen aus den Azure Stack Hub-PKI-Zertifikatanforderungen entsprechen.
Generieren Sie eine Anforderung zur Signierung eines Zertifikats (Certificate Signing Request, CSR) zum Einreichen bei Ihrer Zertifizierungsstelle (Certificate Authority, CA). Verwenden Sie dazu die unter Generieren von Zertifikatsignieranforderungen beschriebenen Schritte, und bereiten Sie sie mit den in Vorbereiten von PKI-Zertifikaten beschriebenen Schritten für die Verwendung in Ihrer Azure Stack Hub-Umgebung vor. Azure Stack Hub unterstützt die Geheimnisrotation für externe Zertifikate von einer neuen Zertifizierungsstelle (ZS) in den folgenden Kontexten:
Rotieren von der Zertifizierungsstelle Rotieren zur Zertifizierungsstelle Unterstützung für Azure Stack Hub-Versionen Selbstsigniert Enterprise 1903 und höher Selbstsigniert Selbstsigniert Nicht unterstützt Selbstsigniert Öffentlich* 1803 und höher Enterprise Enterprise 1803 und höher; 1803–1903, wenn DIESELBE Enterprise-Zertifizierungsstelle wie bei der Bereitstellung verwendet wird. Enterprise Selbstsigniert Nicht unterstützt Enterprise Öffentlich* 1803 und höher Öffentlich* Enterprise 1903 und höher Öffentlich* Selbstsigniert Nicht unterstützt Öffentlich* Öffentlich* 1803 und höher Achten Sie darauf, dass Sie die Zertifikate mit den in Überprüfen von Azure Stack-PKI-Zertifikaten beschriebenen Schritten überprüfen.
Vergewissern Sie sich, dass das Kennwort keine Sonderzeichen wie
$
,*
,#
,@
,or
)` enthält.Vergewissern Sie sich, dass als PFX-Verschlüsselung TripleDES-SHA1 verwendet wird. Lesen Sie bei Bedarf die Informationen unter Beheben allgemeiner Probleme mit Azure Stack Hub-PKI-Zertifikaten.
Speichern Sie eine Sicherung der für die Rotation verwendeten Zertifikate an einem sicheren Sicherungsspeicherort. Sollte die Rotation nicht erfolgreich sein, ersetzen Sie die Zertifikate in der Dateifreigabe durch die Sicherungskopien, und wiederholen Sie dann die Rotation. Bewahren Sie Sicherungskopien am sicheren Sicherungsspeicherort auf.
Erstellen Sie eine Dateifreigabe, auf die Sie über die virtuellen ERCS-Computer zugreifen können. Die Identität CloudAdmin muss über Lese- und Schreibzugriff für die Dateifreigabe verfügen.
Öffnen Sie eine PowerShell ISE-Konsole auf einem Computer, auf dem Sie Zugriff auf die Dateifreigabe haben. Navigieren Sie zu Ihrer Dateifreigabe, wo Sie Verzeichnisse für Ihre externen Zertifikate erstellen.
Erstellen Sie einen Ordner in der Dateifreigabe mit dem Namen
Certificates
. Erstellen Sie im Ordner "Zertifikate" einen Unterordner mit dem NamenAAD
oderADFS
, abhängig vom Identitätsanbieter, den Ihr Hub verwendet. Beispiel: .\Certificates\AAD oder .\Certificates\ADFS. Hier sollten keine anderen Ordner außer dem Ordner "Zertifikate" und dem Unterordner des Identitätsanbieters erstellt werden.Kopieren Sie den neuen Satz von externen Ersatzzertifikaten, die in Schritt 2 erstellt wurden, in den Ordner ".\Certificates\<IdentityProvider>", der in Schritt 6 erstellt wurde. Wie bereits erwähnt, muss Ihr Identitätsanbieter-Unterordner entweder
AAD
sein oderADFS
. Stellen Sie sicher, dass die alternativen Antragstellernamen (SANs) Ihrer ersatz externen Zertifikate dem format entsprechen, das in dencert.<regionName>.<externalFQDN>
Zertifikatanforderungen für die Public Key-Infrastruktur (Public Key Infrastructure, PKI) von Azure Stack Hub angegeben ist.Hier ist ein Beispiel für eine Ordnerstruktur für den Microsoft Entra-Identitätsanbieter:
<ShareName> │ └───Certificates └───AAD ├───ACSBlob │ <CertName>.pfx │ ├───ACSQueue │ <CertName>.pfx │ ├───ACSTable │ <CertName>.pfx │ ├───Admin Extension Host │ <CertName>.pfx │ ├───Admin Portal │ <CertName>.pfx │ ├───ARM Admin │ <CertName>.pfx │ ├───ARM Public │ <CertName>.pfx │ ├───Container Registry* │ <CertName>.pfx │ ├───KeyVault │ <CertName>.pfx │ ├───KeyVaultInternal │ <CertName>.pfx │ ├───Public Extension Host │ <CertName>.pfx │ └───Public Portal <CertName>.pfx
*Anwendbar bei Verwendung der Azure Container Registry (ACR) für Microsoft Entra ID und ADFS.
Hinweis
Wenn Sie externe Containerregistrierungszertifikate drehen, müssen Sie manuell einen Container Registry
Unterordner im Unterordner des Identitätsanbieters erstellen. Darüber hinaus müssen Sie das entsprechende PFX-Zertifikat in diesem manuell erstellten Unterordner speichern.
Drehung
Führen Sie die folgenden Schritte aus, um externe Geheimnisse zu rotieren:
Verwenden Sie das folgende PowerShell-Skript, um externe Geheimnisse zu rotieren. Das Skript erfordert Zugriff auf eine Sitzung mit dem privilegierten Endpunkt (PEP). Der Zugriff auf den PEP erfolgt über eine PowerShell-Remotesitzung auf dem virtuellen Computer (VM), auf dem der PEP gehostet wird. Wenn Sie ein integriertes System verwenden, gibt es drei Instanzen des PEPs. Diese werden jeweils auf einer VM („Präfix-ERCS01“, „Präfix-ERCS02“ und „Präfix-ERCS03“) auf unterschiedlichen Hosts ausgeführt. Das Skript führt die folgenden Schritte aus:
Erstellt eine PowerShell-Sitzung mit dem privilegierten Endpunkt unter Verwendung des Kontos CloudAdmin und speichert die Sitzung als Variable. Diese Variable wird im nächsten Schritt als Parameter verwendet.
Führt Invoke-Command aus und übergibt dabei die PEP-Sitzungsvariable als
-Session
-Parameter.Führt
Start-SecretRotation
in der PEP-Sitzung mit den folgenden Parametern aus. Weitere Informationen finden Sie in der Referenz "Start-SecretRotation" :Parameter Variable Beschreibung -PfxFilesPath
$CertSharePath Der Netzwerkpfad zu Ihrem Zertifikatstammordner, wie in Schritt 6 des Abschnitts „Vorbereitung“ beschrieben, z. B. \\<IPAddress>\<ShareName>\Certificates
.-PathAccessCredential
$CertShareCreds Das PSCredential-Objekt mit Anmeldeinformationen für die Freigabe. -CertificatePassword
$CertPassword Eine sichere Zeichenfolge des Kennworts, das für alle erstellten PFX-Zertifikatdateien verwendet wird.
# Create a PEP session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run secret rotation $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force $CertShareCreds = Get-Credential $CertSharePath = "<Network_Path_Of_CertShare>" Invoke-Command -Session $PEPsession -ScriptBlock { param($CertSharePath, $CertPassword, $CertShareCreds ) Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds) Remove-PSSession -Session $PEPSession
Die Rotation externer Geheimnisse dauert ca. eine Stunde. Nach erfolgreichem Abschluss wird in Ihrer Konsole eine Meldung
ActionPlanInstanceID ... CurrentStatus: Completed
, gefolgt vonAction plan finished with status: 'Completed'
angezeigt. Entfernen Sie Ihre Zertifikate aus der Freigabe, die Sie im Abschnitt „Vorbereitung“ erstellt haben, und speichern Sie sie an ihrem sicheren Sicherungsspeicherort.Hinweis
Wenn eine geheime Drehung fehlschlägt, folgen Sie den Anweisungen in der Fehlermeldung, und führen Sie die Ausführung mit dem
-ReRun
Parameter erneut ausStart-SecretRotation
.Start-SecretRotation -ReRun
Wenden Sie sich an den Support, falls wiederholt Fehler bei der Geheimnisrotation auftreten.
Um sicherzustellen, dass alle externen Zertifikate rotiert wurden, führen Sie optional das Test-AzureStack-Überprüfungstool mithilfe des folgenden Skripts aus:
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
Rotieren interner Geheimnisse
Interne Geheimnisse umfassen Zertifikate, Kennwörter, sichere Zeichenfolgen und Schlüssel, die von der Azure Stack Hub-Infrastruktur ohne Eingriff durch den Azure Stack Hub-Operator verwendet werden. Eine interne Geheimnisrotation ist nur dann erforderlich, wenn Sie den Verdacht haben, dass eines davon kompromittiert wurde, oder wenn Sie eine Ablaufwarnung erhalten haben.
In früheren Bereitstellungen als 1811 treten möglicherweise Warnungen für ausstehende interne Zertifikate oder Geheimnisablaufzeiten auf. Diese Warnungen sind ungenau und sollten ignoriert werden. Es handelt sich um ein bekanntes Problem, das in 1811 behoben wurde.
Führen Sie die folgenden Schritte aus, um interne Geheimnisse zu rotieren:
Führen Sie das folgende PowerShell-Skript aus. Beachten Sie bei der Rotation interner Geheimnisse, dass im Abschnitt „Geheimnisrotation ausführen“ nur der Parameter
-Internal
mit Cmdlet Start-SecretRotation verwendet wird:# Create a PEP Session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run Secret Rotation Invoke-Command -Session $PEPSession -ScriptBlock { Start-SecretRotation -Internal } Remove-PSSession -Session $PEPSession
Hinweis
Für Versionen vor 1811 ist das
-Internal
-Flag nicht erforderlich.Nach erfolgreichem Abschluss wird in Ihrer Konsole eine Meldung
ActionPlanInstanceID ... CurrentStatus: Completed
, gefolgt vonAction plan finished with status: 'Completed'
angezeigt.Hinweis
Wenn bei der Geheimnisrotation ein Fehler auftritt, befolgen Sie die Anweisungen in der Fehlermeldung, und führen Sie
Start-SecretRotation
erneut mit den Parametern-Internal
und-ReRun
aus.Start-SecretRotation -Internal -ReRun
Wenden Sie sich an den Support, falls wiederholt Fehler bei der Geheimnisrotation auftreten.
Rotieren des Azure Stack Hub-Stammzertifikats
Das Azure Stack Hub-Stammzertifikat wird bei der Bereitstellung mit einer Gültigkeit von fünf Jahren bereitgestellt. Ab 2108 wird beim Rotieren interner Geheimnisse auch das Stammzertifikat rotiert. Die Standardwarnung zum Geheimnisablauf identifiziert den Ablauf des Stammzertifikats und generiert Warnungen bei 90 Tagen (Warnung) und bei 30 Tagen (Kritisch).
Um das Stammzertifikat zu rotieren, müssen Sie Ihr System auf 2108 aktualisieren und das Rotieren interner Geheimnisse durchführen.
Im folgenden Codeausschnitt wird der privilegierte Endpunkt verwendet, um das Ablaufdatum des Stammzertifikats anzugeben:
$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }
$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan
Aktualisieren der BMC-Anmeldeinformationen
Der Baseboard-Verwaltungscontroller überwacht den physischen Zustand Ihrer Server. Anweisungen zur Aktualisierung des Benutzerkontonamens und Kennworts des BMC erhalten Sie vom OEM-Hardwareanbieter (Original Equipment Manufacturer, Originalgerätehersteller).
Hinweis
Der OEM stellt unter Umständen zusätzliche Verwaltungs-Apps bereit. Die Aktualisierung des Benutzernamens oder Kennworts für andere Verwaltungs-Apps wirkt sich nicht auf den BMC-Benutzernamen oder auf das BMC-Kennwort aus.
- Aktualisieren Sie den BMC auf den physischen Azure Stack Hub-Servern gemäß den Anweisungen des OEM. Benutzername und Kennwort für jeden BMC in Ihrer Umgebung müssen identisch sein. BMC-Benutzernamen dürfen nicht länger als 16 Zeichen sein.
- Es ist nicht mehr erforderlich, zuerst die BMC-Anmeldeinformationen für die physischen Azure Stack Hub-Server gemäß den OEM-Anweisungen zu aktualisieren. Benutzername und Kennwort für jeden BMC in Ihrer Umgebung müssen identisch sein und dürfen nicht mehr als 16 Zeichen enthalten.
Öffnen Sie in Azure Stack Hub-Sitzungen einen privilegierten Endpunkt. Anweisungen finden Sie unter Verwenden des privilegierten Endpunkts in Azure Stack Hub.
Führen Sie nach dem Öffnen einer Sitzung mit einem privilegierten Endpunkt eines der unten aufgeführten PowerShell-Skripts aus, die Invoke-Command zum Ausführen von Set-BmcCredential verwenden. Wenn Sie den optionalen Parameter -BypassBMCUpdate mit Set-BMCCredential verwenden, werden die Anmeldeinformationen im BMC nicht aktualisiert. Nur der interne Azure Stack Hub-Datenspeicher wird aktualisiert. Übergeben Sie die Sitzungsvariable des privilegierten Endpunkts als Parameter.
Im folgenden finden Sie ein PowerShell-Beispielskript, mit dem Benutzername und Kennwort angefordert werden:
# Interactive Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials" $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString $NewBmcUser = Read-Host -Prompt "Enter New BMC user name" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Sie können den Benutzernamen und das Kennwort auch in Variablen codieren, was weniger sicher sein kann:
# Static Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>" $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd) $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force $NewBmcUser = "<New BMC User name>" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Referenz: Start-SecretRotation-Cmdlet
Das Cmdlet Start-SecretRotation rotiert die Infrastrukturgeheimnisse eines Azure Stack Hub-Systems. Dieses Cmdlet kann nur für den privilegierten Azure Stack Hub-Endpunkt ausgeführt werden, indem ein Invoke-Command
-Skriptblock verwendet wird, der die PEP-Sitzung im -Session
-Parameter übergibt. Standardmäßig werden nur die Zertifikate aller externen Netzwerkinfrastruktur-Endpunkte rotiert.
Parameter | Type | Erforderlich | Position | Default | BESCHREIBUNG |
---|---|---|---|---|---|
PfxFilesPath |
String | False | benannt | Keine | Der Dateifreigabepfad des Stammordners \Certificates mit allen externen Netzwerkendpunkt-Zertifikaten. Nur beim Rotieren externer Geheimnisse erforderlich. Pfad muss mit dem \Certificates-Ordner enden, z. B. \\<IPAddress>\<ShareName>\Certificates. |
CertificatePassword |
SecureString | False | benannt | Keine | Das Kennwort für alle Zertifikate in „-PfXFilesPath“. Erforderlich, wenn „PfxFilesPath“ beim Rotieren externer Geheimnisse angegeben wird. |
Internal |
String | False | benannt | Keine | Das Internal-Flag muss immer dann verwendet werden, wenn ein Azure Stack Hub-Operator interne Infrastrukturgeheimnisse rotieren möchte. |
PathAccessCredential |
PSCredential | False | benannt | Keine | Die PowerShell-Anmeldeinformationen für die Dateifreigabe des Verzeichnisses \Certificates mit allen externen Netzwerkendpunkt-Zertifikaten. Nur beim Rotieren externer Geheimnisse erforderlich. |
ReRun |
SwitchParameter | False | benannt | Keine | Muss immer dann erfolgen, wenn die Geheimnisrotation nach einem fehlgeschlagenen Versuch erneut versucht wird. |
Syntax
Für Rotation externer Geheimnisse
Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]
Für Rotation interner Geheimnisse
Start-SecretRotation [-Internal]
Für erneute Rotation externer Geheimnisse
Start-SecretRotation [-ReRun]
Für erneute Rotation interner Geheimnisse
Start-SecretRotation [-ReRun] [-Internal]
Beispiele
Nur Rotieren interner Infrastrukturgeheimnisse
Dieser Befehl muss über den privilegierten Endpunkt Ihrer Azure Stack Hub-Umgebung ausgeführt werden.
PS C:\> Start-SecretRotation -Internal
Dieser Befehl rotiert alle Infrastrukturgeheimnisse, die für das interne Azure Stack Hub-Netzwerk verfügbar gemacht wurden.
Nur Rotieren externer Infrastrukturgeheimnisse
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
param($CertSharePath, $CertPassword, $CertShareCreds )
Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession
Dieser Befehl rotiert die TLS-Zertifikate, die für die externen Netzwerkinfrastruktur-Endpunkte von Azure Stack Hub verwendet werden.
Rotieren interner und externer Infrastrukturgeheimnisse (nur Versionen vor 1811)
Wichtig
Dieser Befehl gilt nur für Azure Stack Hub-Versionen vor 1811, da die Rotation für interne und externe Zertifikate aufgeteilt wurde.
Ab 1811 können interne und externe Zertifikate nicht mehr gemeinsam rotiert werden.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession
Dieser Befehl rotiert die Infrastrukturgeheimnisse, die für das interne Azure Stack Hub-Netzwerk verfügbar gemacht wurden, und die TLS-Zertifikate, die für die externen Netzwerkinfrastruktur-Endpunkte von Azure Stack Hub verwendet werden. „Start-SecretRotation“ rotiert alle von Stack generierten Geheimnisse, und da bereitgestellte Zertifikate vorhanden sind, werden auch externe Endpunktzertifikate rotiert.