Effectuer la rotation des secrets dans Azure Stack Hub

Cet article fournit des instructions pour effectuer la rotation des secrets, afin de maintenir une communication sécurisée avec les ressources et services de l’infrastructure Azure Stack Hub.

Vue d'ensemble

Azure Stack Hub utilise des secrets pour maintenir une communication sécurisée avec les ressources et services d’infrastructure. Pour maintenir l’intégrité de l’infrastructure Azure Stack Hub, les opérateurs doivent pouvoir effectuer une rotation des secrets à une fréquence conforme aux exigences de sécurité de leur organisation.

Lorsque les secrets approchent de leur date d’expiration, les alertes suivantes sont générées dans le portail administrateur. La rotation des secrets permet de résoudre les alertes suivantes :

• Pending service account password expiration (Expiration imminente du mot de passe du compte de service)
• Pending internal certificate expiration (Expiration imminente du certificat interne)
• Pending external certificate expiration (Expiration imminente du certificat externe)

Avertissement

Il y a 2 phases d’alertes déclenchées dans le portail d’administration avant l’expiration :

• 90 jours avant l’expiration, une alerte d’avertissement est générée.
• 30 jours avant l’expiration, une alerte critique est générée.

Il est primordial que vous terminiez la rotation des secrets si vous recevez ces notifications. Dans le cas contraire, vous risquez de provoquer la perte de charges de travail et le redéploiement d’Azure Stack Hub à vos frais.

Pour plus d’informations sur la surveillance et la correction des alertes, consultez Surveiller l’intégrité et les alertes dans Azure Stack Hub.

Prérequis

1. Il est vivement recommandé d’exécuter une version prise en charge d’Azure Stack Hub et d’appliquer le dernier correctif logiciel disponible pour la version d’Azure Stack Hub que votre instance exécute. Par exemple, si vous exécutez 2008, vérifiez que vous avez installé le dernier correctif logiciel disponible pour 2008.

2. Notifiez vos utilisateurs des opérations de maintenance planifiée. Planifiez les fenêtres de maintenance normale pendant les heures creuses, autant que possible. Les opérations de maintenance peuvent affecter les opérations du portail et les charges de travail des utilisateurs.

3. Générez des demandes de signature de certificat pour Azure Stack Hub.

4. Préparer des certificats PKI Azure Stack Hub.

5. Pendant la rotation des secrets, les opérateurs remarqueront peut-être que des alertes s’ouvrent et se ferment automatiquement. Ce comportement est normal et les alertes peuvent être ignorées. Les opérateurs peuvent vérifier la validité de ces alertes à l’aide de la cmdlet PowerShell Test-AzureStack. Pour les opérateurs, à l’aide de System Center Operations Manager pour surveiller les systèmes Azure Stack Hub, le fait de placer un système en mode maintenance empêche ces alertes d’atteindre leurs systèmes ITSM. Toutefois, les alertes continueront d’arriver si le système Azure Stack Hub devient inaccessible.

Effectuer une rotation des secrets externes

Important

Rotation des secrets externes :

• La rotation des secrets autres que des certificats, comme les clés et chaînes sécurisées doit être effectuée manuellement par l’administrateur. Sont inclus les mots de passe des comptes d’utilisateur et d’administrateur, ainsi que les mots de passe de commutateur réseau.
• Les secrets du fournisseur de ressources (RP) à valeur ajoutée sont couverts par des conseils distincts :
  • App Service sur Azure Stack Hub
  • Event Hubs sur Azure Stack Hub
  • MySQL sur Azure Stack Hub
  • SQL sur Azure Stack Hub
• Les informations d’identification du contrôleur de gestion de la carte de base (BMC) sont un processus manuel, décrit plus loin dans cet article.
• Azure Container Registry certificats externes est un processus manuel, décrit plus loin dans cet article.

Cette section traite de la rotation des certificats utilisés pour sécuriser des services externes. Ces certificats sont fournis par l’opérateur Azure Stack Hub, pour les services suivants :

• Portail administrateur
• Portail public
• Administrateur Azure Resource Manager
• Global Azure Resource Manager
• Administrateur Key Vault
• Key Vault
• Hôte d’extension d’administration
• ACS (y compris stockage objet blob, table et file d’attente)
• ADFS¹
• Graphique¹
• Registre de conteneurs²

¹Applicable lors de l’utilisation des services fédérés Active Directory (ADFS).

²Applicable lors de l’utilisation de Azure Container Registry (ACR).

Préparation

Avant d’effectuer la rotation des secrets externes :

1. Exécutez l’applet de commande PowerShell Test-AzureStack en utilisant le paramètre -group SecretRotationReadiness, pour confirmer que toutes les sorties de test sont intègres avant d’effectuer la rotation des secrets.

2. Préparez un nouveau jeu de certificats externes de remplacement :

   • Le nouveau jeu doit répondre aux spécifications de certificat décrites dans la page Exigences de certificat d’infrastructure de clés publiques Azure Stack Hub.

   • Générez une demande de signature de certificat (CSR) à soumettre à votre autorité de certification. Suivez la procédure décrite dans Générer les demandes de signature de certificat, puis préparez les demandes en vue de les utiliser dans votre environnement Azure Stack Hub en procédant de la manière décrite dans Préparer des certificats d’infrastructure à clé publique. Azure Stack Hub prend en charge la rotation des secrets pour les certificats externes obtenus auprès d’une nouvelle autorité de certification dans les contextes suivants :

     Rotation depuis l’autorité de certification	Rotation vers l’autorité de certification	Prise en charge des versions Azure Stack Hub
     Auto-signé	Enterprise	1903 et versions ultérieures
     Auto-signé	Auto-signé	Non pris en charge
     Auto-signé	Public*	1803 et versions ultérieures
     Enterprise	Entreprise	1803 et versions ultérieures, 1803-1903 si l’autorité de certification d’entreprise est la MÊME que celle utilisée lors du déploiement
     Enterprise	Auto-signé	Non pris en charge
     Enterprise	Public*	1803 et versions ultérieures
     Public*	Enterprise	1903 et versions ultérieures
     Public*	Auto-signé	Non pris en charge
     Public*	Public*	1803 et versions ultérieures

     ^*Dans le cadre du programme de certification racine approuvé Windows.

   • Veillez à valider les certificats que vous préparez en suivant la procédure décrite dans Valider des certificats PKI.

   • Vérifiez que le mot de passe ne contient pas de caractères spéciaux, tels que $,*,#,@,or)`.

   • Vérifiez que le chiffrement PFX est TripleDES-SHA1. Si vous rencontrez un problème, voir Corriger les problèmes courants liés aux certificats d’infrastructure de clés publiques Azure Stack Hub.

3. Stockez une sauvegarde des certificats utilisés pour la rotation dans un emplacement de sauvegarde sécurisé. Si votre rotation s’exécute puis échoue, remplacez les certificats dans le partage de fichiers par les copies de sauvegarde avant d’exécuter à nouveau la rotation. Conservez des copies de sauvegarde dans l’emplacement de sauvegarde sécurisé.

4. Créez un partage de fichiers auquel vous pouvez accéder depuis les machines virtuelles ERCS. Le partage de fichiers doit être accessible en lecture et en écriture pour l’identité CloudAdmin.

5. Ouvrez une console PowerShell ISE à partir d’un ordinateur sur lequel vous avez accès au partage de fichiers. Accédez à votre partage de fichiers afin de créer des répertoires dans lesquels placer vos certificats externes.

6. Créez un dossier dans le partage de fichiers nommé Certificates. Dans le dossier certificats, créez un sous-dossier nommé AAD ou ADFS, en fonction du fournisseur d’identité utilisé par votre hub. Par exemple, .\Certificates\AAD ou .\Certificates\ADFS. Aucun autre dossier en dehors du dossier certificats et du sous-dossier du fournisseur d’identité ne doit être créé ici.

7. Copiez le nouvel ensemble de certificats externes de remplacement créés à l’étape 2 dans le dossier .\Certificates\<IdentityProvider> créé à l’étape 6. Comme mentionné ci-dessus, votre sous-dossier de fournisseur d’identité doit être AAD ou ADFS. Assurez-vous que les autres noms d’objet (SAN) de vos certificats externes de remplacement suivent le cert.<regionName>.<externalFQDN> format spécifié dans les exigences de certificat d’infrastructure à clé publique (PKI) Azure Stack Hub.

   Voici un exemple de structure de dossiers pour le fournisseur d’identité Microsoft Entra :

       <ShareName>
           │
           └───Certificates
                 └───AAD
                     ├───ACSBlob
                     │       <CertName>.pfx
                     │
                     ├───ACSQueue
                     │       <CertName>.pfx
                     │
                     ├───ACSTable
                     │       <CertName>.pfx
                     │
                     ├───Admin Extension Host
                     │       <CertName>.pfx
                     │
                     ├───Admin Portal
                     │       <CertName>.pfx
                     │
                     ├───ARM Admin
                     │       <CertName>.pfx
                     │
                     ├───ARM Public
                     │       <CertName>.pfx
                     │
                     ├───Container Registry*
                     │       <CertName>.pfx
                     │
                     ├───KeyVault
                     │       <CertName>.pfx
                     │
                     ├───KeyVaultInternal
                     │       <CertName>.pfx
                     │
                     ├───Public Extension Host
                     │       <CertName>.pfx
                     │
                     └───Public Portal
                             <CertName>.pfx
   

^*Applicable lors de l’utilisation de Azure Container Registry (ACR) pour Microsoft Entra ID et ADFS.

Notes

Si vous effectuez une rotation de certificats Container Registry externes, vous devez créer manuellement un Container Registry sous-dossier dans le sous-dossier du fournisseur d’identité. En outre, vous devez stocker le certificat .pfx correspondant dans ce sous-dossier créé manuellement.

Rotation

Pour effectuer une rotation des secrets externes, procédez comme suit :

1. Utilisez le script PowerShell suivant pour effectuer la rotation des secrets. Le script requiert un accès à une session de point de terminaison privilégié (PEP). Vous accédez au point de terminaison privilégié via une session PowerShell à distance sur la machine virtuelle qui l’héberge. Si vous utilisez un système intégré, il existe trois instances du point de terminaison privilégié, chacune s’exécutant à l’intérieur d’une machine virtuelle (Prefix-ERCS01, Prefix-ERCS02 ou Prefix-ERCS03) sur des hôtes différents. Le script effectue les étapes suivantes :

   • Crée une session PowerShell avec le point de terminaison privilégié en utilisant le compte CloudAdmin, et stocke la session en tant que variable. Cette variable est utilisée en tant que paramètre à l’étape suivante.

   • Exécute la commande Invoke-Command en passant la variable de session PEP en tant que paramètre -Session.

   • Exécute Start-SecretRotation dans la session PEP, en utilisant les paramètres suivants. Pour plus d’informations, consultez la référence Start-SecretRotation :

     Paramètre	Variable	Description
     -PfxFilesPath	$CertSharePath	Chemin d’accès réseau à votre dossier racine de certificats, comme indiqué à l’étape 6 de la section Préparation, par exemple \\<IPAddress>\<ShareName>\Certificates.
     -PathAccessCredential	$CertShareCreds	objet PSCredential pour les informations d’identification pour l’accès au partage.
     -CertificatePassword	$CertPassword	Une chaîne sécurisée du mot de passe utilisée pour tous les fichiers de certificat pfx créés.

   # Create a PEP session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run secret rotation
   $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
   $CertShareCreds = Get-Credential
   $CertSharePath = "<Network_Path_Of_CertShare>"
   Invoke-Command -Session $PEPsession -ScriptBlock {
       param($CertSharePath, $CertPassword, $CertShareCreds )
       Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
   } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
   Remove-PSSession -Session $PEPSession
   

2. La rotation des secrets externes prend environ une heure. Une fois l’opération terminée, votre console affiche un message ActionPlanInstanceID ... CurrentStatus: Completed, suivi de Action plan finished with status: 'Completed'. Supprimez vos certificats du partage créé dans la section Préparation, puis stockez-les à leur emplacement de sauvegarde sécurisé.

   Remarque

   En cas d’échec de la rotation des secrets, suivez les instructions figurant dans le message d’erreur, puis réexécutez Start-SecretRotation avec le paramètre -ReRun.

   Start-SecretRotation -ReRun
   

   Contactez le support si vous rencontrez des échecs répétés de rotation des secrets.

3. Si vous le souhaitez, pour confirmer que tous les certificats externes ont fait l’objet d’une rotation, exécutez l’outil de validation Test-AzureStack à l’aide du script suivant :

   Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
   

Effectuer une rotation des secrets internes

Les secrets internes incluent les certificats, mots de passe, chaînes sécurisées et clés utilisés par l’infrastructure Azure Stack Hub sans intervention de l’opérateur Azure Stack Hub. Une rotation de secret interne n’est requise que si vous soupçonnez que quelqu’un a été compromis, ou si vous avez reçu une alerte d’expiration.

Pour effectuer une rotation des secrets internes, effectuez les étapes suivantes :

1. Exécutez le script PowerShell suivant. Notez que pour la rotation interne des secrets, la section « Exécuter la rotation des secrets » utilise uniquement le paramètre -Internal de l’applet de commande Start-SecretRotation :

   # Create a PEP Session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run Secret Rotation
   Invoke-Command -Session $PEPSession -ScriptBlock {
       Start-SecretRotation -Internal
   }
   Remove-PSSession -Session $PEPSession
   

2. Une fois l’opération terminée, votre console affiche un message ActionPlanInstanceID ... CurrentStatus: Completed, suivi de Action plan finished with status: 'Completed'.

   Remarque

   En cas d’échec de la rotation des secrets, suivez les instructions dans le message d’erreur et réexécutez Start-SecretRotation avec les paramètres -Internal et -ReRun.

   Start-SecretRotation -Internal -ReRun
   

   Contactez le support si vous rencontrez des échecs répétés de rotation des secrets.

Faire pivoter le certificat racine Azure Stack Hub

Le certificat racine Azure Stack Hub est approvisionné pendant le déploiement avec une expiration de cinq ans. À compter de 2108, la rotation des secrets internes fait également pivoter le certificat racine. L’alerte d’expiration du secret standard identifie l’expiration du certificat racine et génère des alertes à 90 (avertissements) et 30 jours (critiques).

Pour faire pivoter le certificat racine, vous devez mettre à jour votre système vers 2108 et effectuer une rotation des secrets internes.

L’extrait de code suivant utilise le point de terminaison privilégié pour répertorier la date d’expiration du certificat racine :

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Mettre à jour les informations d’identification du contrôleur de gestion de la carte de base (BMC)

Le contrôleur de gestion de la carte de base (BMC) analyse l’état physique de vos serveurs. Pour des instructions sur la mise à jour du nom et du mot de passe du compte d’utilisateur du contrôleur BMC, contactez le fabricant d’ordinateurs OEM.

Remarque

Votre OEM peut fournir des applications de gestion supplémentaires. La mise à jour du nom d’utilisateur ou du mot de passe pour d’autres applications de gestion n’a aucun effet sur le nom d’utilisateur ou le mot de passe du contrôleur de gestion de la carte de base.

1. Il n’est plus nécessaire de commencer par mettre à jour les informations d’identification BMC sur les serveurs physiques Azure Stack Hub en suivant les instructions de votre fabricant OEM. Les nom d’utilisateur et mot de passe de chaque BMC dans votre environnement doivent être identiques, et ne peuvent pas dépasser 16 caractères.

2. Ouvrez un point de terminaison privilégié dans des sessions Azure Stack Hub. Pour obtenir des instructions, voir Utilisation du point de terminaison privilégié dans Azure Stack Hub.

3. Après avoir ouvert une session de point de terminaison privilégié, exécutez l’un des scripts PowerShell ci-dessous, qui utilisent Invoke-Command pour exécuter Set-BmcCredential. Si vous utilisez le paramètre facultatif -BypassBMCUpdate avec Set-BMCCredential, les informations d’identification dans le BMC ne sont pas mises à jour. Seul le magasin de données interne d’Azure Stack Hub est mis à jour. Passez la variable de session de votre point de terminaison privilégié en tant que paramètre.

   Voici un exemple de script PowerShell qui vous invite à entrer le nom d’utilisateur et le mot de passe :

   # Interactive Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
   $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
   $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

   Vous pouvez également encoder le nom d’utilisateur et le mot de passe dans des variables qui peuvent être moins sécurisées :

   # Static Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
   $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
   $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
   $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
   $NewBmcUser = "<New BMC User name>"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

Référence : Cmdlet Start-SecretRotation

La cmdlet Start-SecretRotation effectue la rotation des secrets d’infrastructure d’un système Azure Stack Hub. Cette cmdlet ne peut être exécutée que sur le point de terminaison privilégié Azure Stack Hub, à l’aide d’un bloc de script Invoke-Command passant la session PEP dans le paramètre -Session. Par défaut, elle effectue uniquement la rotation des certificats de tous les points de terminaison de l’infrastructure réseau externe.

Paramètre	Type	Obligatoire	Position	Default	Description
PfxFilesPath	String	False	named	None	Le chemin d’accès au partage de fichiers pour le dossier racine \Certificates contenant tous les certificats de points de terminaison réseau externe. Uniquement requis lors de la rotation de secrets externes. Le chemin d’accès doit se terminer par le dossier \Certificates, par exemple \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword	SecureString	False	named	None	Le mot de passe pour tous les certificats fournis dans le -PfXFilesPath. Valeur requise si PfxFilesPath est fourni lors de la rotation des secrets externes.
Internal	String	False	named	None	L’indicateur interne doit être utilisé chaque fois qu’un opérateur Azure Stack Hub souhaite effectuer la rotation des secrets d’infrastructure internes.
PathAccessCredential	PSCredential	False	named	None	Les informations d’identification PowerShell du partage de fichiers pour le répertoire \Certificates contenant tous les certificats de points de terminaison réseau externe. Uniquement requis lors de la rotation de secrets externes.
ReRun	SwitchParameter	False	named	None	Doit être utilisé à chaque nouvelle tentative de rotation des secrets après un échec.

Syntaxe

Rotation des secrets externes

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Rotation des secrets internes

Start-SecretRotation [-Internal]  

Réexécution de la rotation des secrets externes

Start-SecretRotation [-ReRun]

Réexécution de la rotation des secrets internes

Start-SecretRotation [-ReRun] [-Internal]

Exemples

Effectuer la rotation des secrets d’infrastructure internes uniquement

Cette commande doit être exécutée via le point de terminaison privilégié de votre environnement Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Cette commande effectue la rotation de tous les secrets de l’infrastructure exposés au réseau interne Azure Stack Hub.

Effectuer la rotation des secrets d’infrastructure externes uniquement

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Cette commande effectue la rotation des certificats TLS utilisés pour les points de terminaison de l’infrastructure réseau externe d’Azure Stack Hub.

Étapes suivantes

En savoir plus sur la sécurité dans Azure Stack Hub