Поделиться через

Узнайте о том, как менять секреты в Azure Stack Hub

  • Статья

В этой статье приведены рекомендации по выполнению смены секретов для обеспечения безопасного взаимодействия с ресурсами и службами инфраструктуры Azure Stack Hub.

Обзор

Azure Stack Hub использует секреты для обеспечения безопасного взаимодействия с ресурсами и службами инфраструктуры. Чтобы поддерживать целостность инфраструктуры Azure Stack Hub, операторам нужна возможность смены секретов с частотой, согласованной с требованиями к безопасности организации.

При истечении срока действия секретов на портале администрирования создаются следующие оповещения. Смена секретов позволит устранить условия, активирующие следующие оповещения:

  • ожидается истечение срока действия пароля учетной записи службы;
  • ожидается истечение срока действия внутреннего сертификата;
  • ожидается истечение срока действия внешнего сертификата.

Предупреждение

До истечения срока действия на портале администрирования активируются два этапа оповещений:

  • 90 дней до истечения срока действия предупреждения создается оповещение.
  • 30 дней до истечения срока действия создается критическое оповещение.

Важно завершить смену секретов, если вы получаете эти уведомления. Сбой этого может привести к потере рабочих нагрузок и возможному повторному развертыванию Azure Stack Hub за счет собственных расходов!

Дополнительные сведения о мониторинге и исправлении оповещений см. в статье "Мониторинг работоспособности и оповещений" в Azure Stack Hub.

Примечание.

В средах Azure Stack Hub до версии 1811 могут возникать предупреждения об ожидающих обработки внутренних сертификатах или об окончании срока действия секретов. Эти предупреждения являются неточными. Их следует игнорировать без выполнения смены внутренних секретов. Неточные оповещения об истечении срока действия внутренних секретов — это известная проблема, которая устранена в версии 1811. Срок действия внутренних секретов не истекает, если среда была активна в течение двух лет.

Необходимые компоненты

  1. Настоятельно рекомендуется запустить поддерживаемую версию Azure Stack Hub и применить последнее доступное исправление для версии Azure Stack Hub. Например, если вы работаете в 2008 году, убедитесь, что вы установили последнее исправление, доступное в 2008 году.

    Внимание

    Для версий до 1811:

  2. Уведомите пользователей о запланированных операциях обслуживания. Запланируйте стандартные окна обслуживания, по возможности в нерабочие часы. Операции технического обслуживания могут влиять на рабочие нагрузки пользователей и на операции портала.

  3. Создайте запросы на подписывание сертификатов для Azure Stack Hub.

  4. Подготовка PKI-сертификатов Azure Stack Hub.

  5. Во время смены секретов операторы могут заметить, что оповещения открыты и автоматически закрываются. Такое поведение считается нормальным и предупреждения можно игнорировать. Операторы могут проверить допустимость этих оповещений с помощью командлета Test-AzureStack PowerShell. Для операторов, использующих System Center Operations Manager для мониторинга систем Azure Stack Hub, размещение системы в режиме обслуживания не позволит этим оповещениям достичь своих систем ITSM. Однако оповещения будут продолжать поступать, если система Azure Stack Hub становится недоступной.

Смена внешних секретов

Внимание

Поворот внешнего секрета для:

В этом разделе рассматривается смена сертификатов, используемых для защиты внешних служб. Эти сертификаты предоставляются оператором Azure Stack Hub для следующих служб:

  • портал администрирования;
  • общедоступный портал;
  • Azure Resource Manager для администратора;
  • Глобальная служба Azure Resource Manager
  • Key Vault администратора;
  • Key Vault
  • Административный хост-процесс для расширений
  • ACS (включая хранилище BLOB-объектов, таблиц и очередей);
  • ADFS1
  • Граф1
  • Реестрконтейнеров 2

1Применимо при использовании федеративных служб Active Directory (ADFS).

2Применимо при использовании Реестр контейнеров Azure (ACR).

Подготовка

Перед сменой внешних секретов:

  1. Test-AzureStack Запустите командлет PowerShell с помощью -group SecretRotationReadiness параметра, чтобы убедиться, что все выходные данные теста работоспособны перед сменой секретов.

  2. Подготовьте новый набор внешних сертификатов для замены:

    • Новый набор должен соответствовать спецификациям сертификатов, описанным в требованиях к PKI-сертификату Azure Stack Hub.

    • Создайте запрос подписи сертификата (CSR) для отправки в центр сертификации (ЦС). Выполните действия, описанные в статье "Создание запросов на подписывание сертификатов " и подготовьте их к использованию в среде Azure Stack Hub, выполнив действия, описанные в разделе "Подготовка PKI-сертификатов". Azure Stack Hub поддерживает смену секретов для внешних сертификатов из нового центра сертификации (ЦС) в следующих контекстах:

      Поворот из ЦС Поворот в ЦС Поддержка версий Azure Stack Hub
      Самозаверяющий Функции корпоративного уровня 1903 и более поздних версий
      Самозаверяющий Самозаверяющий Не поддерживается
      Самозаверяющий Общественный* 1803 и более поздних версий
      Enterprise Enterprise 1803 и более поздних версий; 1803-1903, если ТОТ ЖЕ корпоративный ЦС, используемый при развертывании
      Функции корпоративного уровня Самозаверяющий Не поддерживается
      Функции корпоративного уровня Общественный* 1803 и более поздних версий
      Общественный* Функции корпоративного уровня 1903 и более поздних версий
      Общественный* Самозаверяющий Не поддерживается
      Общественный* Общественный* 1803 и более поздних версий

      *Часть доверенной корневой программы Windows.

    • Обязательно проверьте сертификаты, которые вы готовите с помощью шагов, описанных в разделе "Проверка сертификатов PKI"

    • Убедитесь, что в пароле отсутствуют специальные символы, например $,*,#,@,or)".

    • Убедитесь, что для PFX-файлов используется шифрование TripleDES-SHA1. Если у вас возникнут проблемы, см. руководство по устранению распространенных неполадок с сертификатами PKI в Azure Stack Hub.

  3. Сохраните резервную копию в сертификаты, используемые для смены, в защищенном расположении резервной копии. Если смена выполняется, а затем завершается сбоем, замените сертификаты в общей папке резервными копиями перед повторным запуском смены. Резервные копии необходимо сохранить в безопасном расположении.

  4. Создайте общую папку, к которой можно получить доступ из виртуальных машин ERCS. Общий файловый ресурс должен быть доступен для чтения и записи для удостоверения CloudAdmin .

  5. Откройте консоль интегрированной среды сценариев PowerShell на компьютере с доступом к общей папке. Перейдите к общей папке, в которой вы создаете каталоги для размещения внешних сертификатов.

  6. Создайте папку в общей папке с именем Certificates. В папке сертификатов создайте вложенную папку или AAD ADFSв зависимости от используемого поставщика удостоверений. Например, .\Certificates\AAD или .\Certificates\ADFS. Никакие другие папки, кроме папки сертификатов и вложенных папок поставщика удостоверений, не должны быть созданы здесь.

  7. Скопируйте новый набор внешних сертификатов, созданных на шаге 2, в папку .\Certificates\<IdentityProvider> , созданную на шаге 6. Как упоминалось выше, вложенная папка поставщика удостоверений должна быть AAD или ADFS. Убедитесь, что альтернативные имена субъектов (SAN) замены внешних сертификатов соответствуют формату, указанному cert.<regionName>.<externalFQDN> в требованиях к сертификату инфраструктуры открытых ключей Azure Stack Hub (PKI).

    Ниже приведен пример структуры папок для поставщика удостоверений Microsoft Entra:

        <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

*Применимо при использовании Реестр контейнеров Azure (ACR) для идентификатора Microsoft Entra и ADFS.

Примечание.

При смене внешних сертификатов реестра контейнеров необходимо вручную создать вложенную Container Registry папку в подпапке поставщика удостоверений. Кроме того, необходимо сохранить соответствующий PFX-сертификат в этой созданной вручную вложенной папке.

Rotation

Выполните следующие действия, чтобы повернуть внешние секреты:

  1. Используйте следующий скрипт PowerShell для смены секретов. Скрипту требуется доступ к сеансу привилегированной конечной точки (PEP). Доступ к PEP осуществляется через удаленный сеанс PowerShell на виртуальной машине, где размещается PEP. Если вы используете интегрированную систему, существует три экземпляра PEP, каждая из которых выполняется внутри виртуальной машины (Prefix-ERCS01, Prefix-ERCS02 или Prefix-ERCS03) на разных узлах. Скрипт выполняет следующие задачи.

    • Создает сеанс PowerShell с привилегированной конечной точкой с помощью учетной записи CloudAdmin и сохраняет сеанс в качестве переменной. Эта переменная используется в качестве параметра на следующем шаге.

    • Выполняет вызов команды, передав переменную сеанса PEP в качестве -Session параметра.

    • Выполняется Start-SecretRotation в сеансе PEP, используя следующие параметры. Дополнительные сведения см. в справочнике по Start-SecretRotation :

      Параметр «Переменная» Description
      -PfxFilesPath $CertSharePath Сетевой путь к корневой папке сертификатов, как описано на шаге 6 раздела "Подготовка", например \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds Объект PSCredential для учетных данных для общей папки.
      -CertificatePassword $CertPassword Защищенная строка пароля, используемая для всех созданных файлов сертификатов PFX. 
    # Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

  2. Смена внешних секретов занимает около часа. После успешного завершения консоль отобразит ActionPlanInstanceID ... CurrentStatus: Completed сообщение, за которым следует Action plan finished with status: 'Completed'. Удалите сертификаты из общей папки, созданной при работе с разделом подготовки, и храните их в безопасном расположении резервного копирования.

    Примечание.

    Если смена секретов завершается ошибкой, следуйте инструкциям в сообщении об ошибке и повторно запустите Start-SecretRotation с параметром -ReRun .

    Start-SecretRotation -ReRun

    Обратитесь в службу поддержки, если при смене секретов постоянно возникают сбои.

  3. При необходимости, чтобы убедиться, что все внешние сертификаты были изменены, запустите средство проверки Test-AzureStack с помощью следующего сценария:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug

Смена внутренних секретов

Перечень внутренних секретов включает сертификаты, пароли, защищенные строки и ключи, используемые инфраструктурой Azure Stack Hub без вмешательства оператора Azure Stack Hub. Внутренняя ротация секретов требуется только в том случае, если вы подозреваете, что один из них был взломан, или если вы получили предупреждение об истечении срока действия.

В развертываниях до 1811 могут отображаться оповещения о ожидании истечения срока действия внутреннего сертификата или секрета. Эти оповещения являются неточными и должны игнорироваться, и это известная проблема, устраненная в 1811 году.

Выполните следующие действия, чтобы повернуть внутренние секреты:

  1. Запустите следующий сценарий PowerShell. Обратите внимание на смену внутреннего секрета, раздел "Запуск смены секретов" использует только -Internal параметр для командлета Start-SecretRotation:

    # Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

    Примечание.

    Версии до 1811 не требуют флага -Internal .

  2. После успешного завершения консоль отобразит ActionPlanInstanceID ... CurrentStatus: Completed сообщение, за которым следует Action plan finished with status: 'Completed'.

    Примечание.

    Если ротация секретов не удалась, следуйте инструкциям в сообщении об ошибке и повторно запустите Start-SecretRotation с параметрами -Internal и -ReRun.

    Start-SecretRotation -Internal -ReRun

    Обратитесь в службу поддержки, если при смене секретов постоянно возникают сбои.

Смена корневого сертификата Azure Stack Hub

Корневой сертификат Azure Stack Hub подготавливается во время развертывания с истечением пяти лет. Начиная с 2108, смена внутреннего секрета также поворачивает корневой сертификат. Стандартное оповещение о истечении срока действия секрета определяет срок действия корневого сертификата и создает оповещения в 90 (предупреждение) и 30 (критических) дней.

Чтобы повернуть корневой сертификат, необходимо обновить систему до 2108 и выполнить смену внутреннего секрета.

Следующий фрагмент кода использует привилегированную конечную точку для перечисления даты окончания срока действия корневого сертификата:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Обновите учетные данные BMC

Контроллер управления базовой доской отслеживает физическое состояние серверов. Обратитесь к поставщику оборудования OEM, чтобы получить инструкции по обновлению пароля и имени учетной записи пользователя для BMC.

Примечание.

Поставщик OEM может предоставлять дополнительные приложения для управления. Обновление имени пользователя или пароля для других приложений управления не влияет на имя пользователя или пароль BMC.

  1. Обновите контроллер управления основной платой на физических серверах Azure Stack Hub в соответствии с инструкциями поставщика. Пароли и имена пользователя для всех контроллеров BMC в среде должны совпадать. Имена пользователей BMC должны содержать не более 16 знаков.
  1. Вам больше не нужно обновлять учетные данные контроллера управления основной платой на физических серверах Azure Stack Hub в соответствии с инструкциями поставщиков OEM. Имя пользователя и пароль для каждого BMC в вашей среде должны быть одинаковыми и не могут превышать 16 символов.

  1. Откройте привилегированную конечную точку в сеансах Azure Stack Hub. См. инструкции по использованию привилегированной конечной точки в Azure Stack Hub.

  2. После открытия сеанса привилегированной конечной точки выполните один из приведенных ниже скриптов PowerShell, которые используют Invoke-Command для запуска Set-BmcCredential. Если вы используете необязательный параметр -BypassBMCUpdate с Set-BMCCredential, учетные данные в BMC не обновляются. Обновляется только внутреннее хранилище данных Azure Stack Hub. Передайте переменную сеанса привилегированной конечной точки в качестве параметра.

    Ниже приведен пример скрипта PowerShell, который будет запрашивать имя пользователя и пароль:

    # Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

    Вы также можете закодировать имя пользователя и пароль в переменных, что может быть менее безопасным:

    # Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Справочник. Командлет Start-SecretRotation

Командлет Start-SecretRotation поворачивает секреты инфраструктуры системы Azure Stack Hub. Этот командлет можно выполнить только в привилегированной конечной точке Azure Stack Hub, используя Invoke-Command блок скрипта, передав сеанс PEP в параметре -Session . По умолчанию он сменяет только сертификаты всех конечных точек инфраструктуры внешней сети.

Параметр Type Обязательное поле Position По умолчанию. Description
PfxFilesPath Строка False Названный нет Путь к корневой папке \Certificates, содержащей все сертификаты конечной точки внешней сети. Требуется только при смене внешних секретов. Путь должен заканчиваться папкой \Certificates , например \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword SecureString False Названный нет Пароль для всех сертификатов, предоставляемых в -PfXFilesPath. Необходимое значение, если PfxFilesPath предоставлен, когда сменяются внешние секреты.
Internal Строка False Названный нет Флаг -Internal должен использоваться каждый раз, когда оператор Azure Stack Hub хочет сменить внутренние секреты инфраструктуры.
PathAccessCredential PSCredential False Названный нет Учетные данные PowerShell для общего ресурса каталога \Certificates, который содержит все сертификаты конечных точек внешней сети. Требуется только при смене внешних секретов.
ReRun SwitchParameter False Названный нет Необходимо использовать любой раз, когда смена секретов повторно презряется после неудачной попытки.

Синтаксис

Для смены внешних секретов

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Для смены внутренних секретов

Start-SecretRotation [-Internal]

Для повторной смены внешних секретов

Start-SecretRotation [-ReRun]

Для повторной смены внутренних секретов

Start-SecretRotation [-ReRun] [-Internal]

Примеры

Смена только секретов внутренней инфраструктуры

Эту команду необходимо выполнять с использованием привилегированной конечной точки среды Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Эта команда меняет все инфраструктурные секреты, предоставляемые для внутренней сети Azure Stack Hub.

Смена только секретов внешней инфраструктуры

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Эта команда сменяет сертификаты TSL, используемые для конечных точек инфраструктуры внешней сети Azure Stack Hub.

Смена секретов внешней и внутренней инфраструктуры (только до версии 1811).

Внимание

Эта команда применяется только к Azure Stack до версии 1811, так как в ней смена для внутренних и внешних сертификатов выполняется раздельно.

Начиная с версии 1811+ вы больше не сможете сменять внутренние и внешние сертификаты.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Эта команда поворачивает секреты инфраструктуры, предоставляемые внутренней сети Azure Stack Hub, и сертификаты TLS, используемые для конечных точек внешней сетевой инфраструктуры Azure Stack Hub. Командлет Start-SecretRotation сменяет все созданные стеком секреты и, так как сертификаты предоставлены, сертификаты внешних конечных точек.

Следующие шаги

Дополнительные сведения о системе безопасности Azure Stack Hub