Az Azure Stack Hub titkos kulcsainak rotálásaRotate secrets in Azure Stack Hub

Ez a cikk útmutatást nyújt a titkos rotációs feladatok végrehajtásához, és segít a Azure Stack hub-infrastruktúra erőforrásaival és szolgáltatásaival való biztonságos kommunikáció fenntartásában.This article provides guidance for performing secret rotation, to help maintain secure communication with Azure Stack Hub infrastructure resources and services.

ÁttekintésOverview

Azure Stack hub titkokat használ az infrastruktúra-erőforrásokkal és-szolgáltatásokkal való biztonságos kommunikáció fenntartásához.Azure Stack Hub uses secrets to maintain secure communication with infrastructure resources and services. Az Azure Stack hub-infrastruktúra integritásának fenntartása érdekében a kezelőknek képesnek kell lenniük arra, hogy a szervezet biztonsági követelményeinek megfelelő gyakorisággal forgatni tudják a titkokat.To maintain the integrity of the Azure Stack Hub infrastructure, operators need the ability to rotate secrets at frequencies that are consistent with their organization's security requirements.

Ha a titkok hamarosan lejárnak, a következő riasztások jönnek létre a felügyeleti portálon.When secrets are nearing expiration, the following alerts are generated in the administrator portal. A titkos kód elforgatása megoldja ezeket a riasztásokat:Completing secret rotation will resolve these alerts:

  • A szolgáltatásfiók jelszavának lejárta folyamatbanPending service account password expiration
  • Belső tanúsítvány lejárata miatt függőbenPending internal certificate expiration
  • Külső tanúsítvány lejárata miatt függőbenPending external certificate expiration

Figyelmeztetés

A felügyeleti portálon a lejárat előtt két fázisban aktiválva van a riasztás:There are 2 phases of alerts triggered in the administrator portal prior to expiration:

  • 90 nappal a lejárat előtt figyelmeztető riasztás jön létre.90 days before expiration a warning alert is generated.
  • 30 nappal a lejárat előtt kritikus riasztás jön létre.30 days before expiration a critical alert is generated.

Fontos, hogy ha ezeket az értesítéseket kapja, a titkos elforgatást hajtsa végre. Ha ezt elmulasztja, a számítási feladatok elvesztését és a lehetséges Azure Stack hub-újratelepítést a saját költségén keresztül teheti meg.It's critical that you complete secret rotation if you receive these notifications. Failure to do so can cause the loss of workloads and possible Azure Stack Hub redeployment at your own expense!

A riasztások figyelésével és szervizelésével kapcsolatos további információkért tekintse meg az állapot és riasztások figyelése Azure stack központbancímű témakört.For more information on alert monitoring and remediation, refer to Monitor health and alerts in Azure Stack Hub.

Megjegyzés

Az 1811 előtti verziókban Azure Stack hub-környezetek riasztásokat láthatnak a függőben lévő belső tanúsítványokra vagy a titkos kódokra vonatkozóan.Azure Stack Hub environments on pre-1811 versions may see alerts for pending internal certificate or secret expirations. Ezek a riasztások pontatlanok, és figyelmen kívül kell hagyni a belső titkos rotáció futtatása nélkül.These alerts are inaccurate and should be ignored without running internal secret rotation. A belső titkos kulcs lejárati idejének pontatlan riasztásai a 1811-ben megoldott ismert problémák.Inaccurate internal secret expiration alerts are a known issue that's resolved in 1811. A belső titkok nem járnak le, kivéve, ha a környezet két évig aktív.Internal secrets won't expire unless the environment has been active for two years.

ElőfeltételekPrerequisites

  1. Javasoljuk, hogy először frissítse a Azure Stack hub-példányt a legújabb verzióra.It's highly recommended that you first update your Azure Stack Hub instance to the latest version.

    Fontos

    1811 előtti verziók esetén:For pre-1811 versions:

    • Ha már elvégezte a titkos mentést, frissítenie kell az 1811-es vagy újabb verzióra, mielőtt ismét elvégezte a titkos kód elforgatását.If secret rotation has already been performed, you must update to version 1811 or later before you perform secret rotation again. A titkos elforgatást a Kiemelt végponton keresztül kell végrehajtani, és Azure stack hub-kezelő hitelesítő adatokat kell megadnia.Secret Rotation must be executed via the Privileged Endpoint and requires Azure Stack Hub Operator credentials. Ha nem tudja, hogy a titkos rotációt futtatta-e a környezetében, frissítsen a 1811-re a titkos elforgatás végrehajtása előtt.If you don't know whether secret rotation has been run on your environment, update to 1811 before performing secret rotation.
    • A kiterjesztésű gazdagép-tanúsítványok hozzáadásához nem kell elforgatnia a titkokat.You don't need to rotate secrets to add extension host certificates. A bővítmények gazdagép-tanúsítványainak hozzáadásához kövesse az Azure stack hub bővítmény-gazdagépének előkészítése című cikk utasításait.You should follow the instructions in the article Prepare for extension host for Azure Stack Hub to add extension host certificates.
  2. Értesítse a felhasználókat a tervezett karbantartási műveletekről.Notify your users of planned maintenance operations. A szokásos karbantartási időszakok a munkaidőn kívüli időpontokban ütemezhetők.Schedule normal maintenance windows, as much as possible, during non-business hours. A karbantartási műveletek befolyásolhatják a felhasználói munkaterheléseket és a portálon végzett műveleteket is.Maintenance operations may affect both user workloads and portal operations.

  3. A titkok forgása során a kezelők megnyitva és automatikusan lezárulva láthatják a riasztásokat.During rotation of secrets, operators may notice alerts open and automatically close. Ez a viselkedés elvárt, a riasztások így figyelmen kívül hagyhatók.This behavior is expected and the alerts can be ignored. Az operátorok a test-AzureStack PowerShell-parancsmaghasználatával ellenőrizhetik a riasztások érvényességét.Operators can verify the validity of these alerts using the Test-AzureStack PowerShell cmdlet. Az Azure Stack hub-rendszerek figyelését System Center Operations Manager használó operátorok esetében a rendszer karbantartási módba helyezése megakadályozza, hogy ezek a riasztások elérjék ITSM rendszerüket, de továbbra is riasztást kapnak, ha az Azure Stack hub rendszer elérhetetlenné válik.For operators using System Center Operations Manager to monitor Azure Stack Hub systems, placing a system in maintenance mode will prevent these alerts from reaching their ITSM systems, but will continue to alert if the Azure Stack Hub system becomes unreachable.

Külső titkok elforgatásaRotate external secrets

Fontos

Külső titkos kód elforgatása:External secret rotation for:

Ez a szakasz a külső szolgáltatások biztonságossá tételéhez használt tanúsítványok rotációját ismerteti.This section covers rotation of certificates used to secure external-facing services. Ezeket a tanúsítványokat a Azure Stack hub operátora nyújtja, a következő szolgáltatásokhoz:These certificates are provided by the Azure Stack Hub Operator, for the following services:

  • Felügyeleti portálAdministrator portal
  • Nyilvános portálPublic portal
  • Rendszergazda Azure Resource ManagerAdministrator Azure Resource Manager
  • Globális Azure Resource ManagerGlobal Azure Resource Manager
  • Rendszergazda Key VaultAdministrator Key Vault
  • Key VaultKey Vault
  • Felügyeleti bővítmény gazdagépeAdmin Extension Host
  • ACS (blob-, tábla-és üzenetsor-tárolóval együtt)ACS (including blob, table, and queue storage)
  • ADFS*ADFS*
  • Graph*Graph*

*Active Directory összevont szolgáltatások (AD FS) használata esetén alkalmazható.*Applicable when using Active Directory Federated Services (AD FS).

ElőkészítésPreparation

A külső titkok forgása előtt:Prior to rotation of external secrets:

  1. Futtassa a Test-AzureStack PowerShell-parancsmagot a (z) -group SecretRotationReadiness paraméter használatával, hogy az összes teszt kimenet állapota Kifogástalan legyen a titkok elforgatása előtt.Run the Test-AzureStack PowerShell cmdlet using the -group SecretRotationReadiness parameter, to confirm all test outputs are healthy before rotating secrets.

  2. Új helyettesítő külső tanúsítványok előkészítése:Prepare a new set of replacement external certificates:

    • Az új készletnek meg kell egyeznie az Azure stack hub PKI-tanúsítvány követelményeibenismertetett tanúsítvány-specifikációkkal.The new set must match the certificate specifications outlined in the Azure Stack Hub PKI certificate requirements.

    • Tanúsítvány-aláírási kérés (CSR) létrehozása a hitelesítésszolgáltató (CA) számára történő küldéshez.Generate a certificate signing request (CSR) to submit to your Certificate Authority (CA). Kövesse a tanúsítvány-aláírási kérelmek előállítása és a Azure stack hub-környezetben való használatra való előkészítésének lépéseit a PKI-tanúsítványok előkészítésecímű témakörben leírtak alapján.Use the steps outlined in Generate certificate signing requests and prepare them for use in your Azure Stack Hub environment using the steps in Prepare PKI certificates. Az Azure Stack hub a következő kontextusokban támogatja a külső tanúsítványok titkos elforgatását egy új hitelesítésszolgáltatótól (CA):Azure Stack Hub supports secret rotation for external certificates from a new Certificate Authority (CA) in the following contexts:

      Forgatás a CA-bólRotate from CA Elforgatás a CA-baRotate to CA Azure Stack hub verziójának támogatásaAzure Stack Hub version support
      Self-SignedSelf-Signed EnterpriseEnterprise 1903 & később1903 & later
      Self-SignedSelf-Signed Self-SignedSelf-Signed Nem támogatottNot Supported
      Self-SignedSelf-Signed Nyilvános*Public* 1803 & később1803 & later
      EnterpriseEnterprise EnterpriseEnterprise 1803 & később; 1803-1903 ha ugyanazt a vállalati HITELESÍTÉSSZOLGÁLTATÓT használja az üzembe helyezés során1803 & later; 1803-1903 if SAME enterprise CA as used at deployment
      EnterpriseEnterprise Self-SignedSelf-Signed Nem támogatottNot Supported
      EnterpriseEnterprise Nyilvános*Public* 1803 & később1803 & later
      Nyilvános*Public* EnterpriseEnterprise 1903 & később1903 & later
      Nyilvános*Public* Self-SignedSelf-Signed Nem támogatottNot Supported
      Nyilvános*Public* Nyilvános*Public* 1803 & később1803 & later

      *A Windows megbízható legfelső szintű programjánakrésze.*Part of the Windows Trusted Root Program.

    • Győződjön meg arról, hogy érvényesíti a felkészített tanúsítványokat a PKI- tanúsítványok ellenőrzése című témakörben ismertetett lépésekkel.Be sure to validate the certificates you prepare with the steps outlined in Validate PKI Certificates

    • Győződjön meg arról, hogy nincsenek speciális karakterek a jelszóban, például * vagy ) .Make sure there are no special characters in the password, like * or ).

    • Győződjön meg arról, hogy a PFX -titkosítás TripleDES-SHA1.Make sure the PFX encryption is TripleDES-SHA1. Ha problémába ütközik, tekintse meg a Azure stack hub PKI-tanúsítványok gyakori problémáinak elhárításacímű témakört.If you run into an issue, see Fix common issues with Azure Stack Hub PKI certificates.

  3. Biztonsági másolat készítése a biztonságos biztonsági mentési helyen történő elforgatáshoz használt tanúsítványokról.Store a backup to the certificates used for rotation in a secure backup location. Ha az elforgatás fut, majd a művelet meghiúsul, cserélje le a fájlmegosztás tanúsítványait a biztonsági másolatokra a elforgatás újrafuttatása előtt.If your rotation runs and then fails, replace the certificates in the file share with the backup copies before you rerun the rotation. Tárolja a biztonsági másolatokat a biztonságos biztonsági mentési helyen.Keep backup copies in the secure backup location.

  4. Hozzon létre egy fájlmegosztás, amely a ERCS virtuális gépekről érhető el.Create a fileshare you can access from the ERCS VMs. A fájlmegosztás legyen olvasható és írható a CloudAdmin -identitáshoz.The file share must be readable and writable for the CloudAdmin identity.

  5. Nyisson meg egy PowerShell ISE-konzolt egy olyan számítógépről, amelyhez hozzáféréssel rendelkezik a fájlmegosztás.Open a PowerShell ISE console from a computer where you have access to the fileshare. Navigáljon a fájlmegosztás, ahol a külső tanúsítványok elhelyezésére szolgáló címtárakat hoz létre.Navigate to your fileshare, where you create directories to place your external certificates.

  6. Töltse le CertDirectoryMaker.ps1 a hálózati fájlmegosztás, és futtassa a parancsfájlt.Download CertDirectoryMaker.ps1 to your network fileshare, and run the script. A szkript létrehoz egy mappastruktúrát, amely megfelel a .\Certificates\AAD_ vagy *.\Certificates\ADFS__ értéknek, az Ön személyazonossági szolgáltatójától függően. A mappa struktúrájának _ \ Certificates mappával kell kezdődnie* , amelyet csak egy \ HRE vagy \ ADFS -mappa követ.The script will create a folder structure that adheres to .\Certificates\AAD_ or _.\Certificates\ADFS_, depending on your identity provider. Your folder structure must begin with a _\Certificates folder, followed by ONLY an \AAD or \ADFS folder. Az előző struktúrában minden további alkönyvtár szerepel.All remaining subdirectories are contained within the preceding structure. Például:For example:

    • Fájlmegosztás = \\<IPAddress>\<ShareName>File share = \\<IPAddress>\<ShareName>
    • Tanúsítvány gyökérkönyvtára az Azure AD-szolgáltatóhoz = \ Certificates\AADCertificate root folder for Azure AD provider = \Certificates\AAD
    • Teljes elérési út = \ \ <IPAddress> \ <ShareName> \Certificates\AADFull path = \\<IPAddress>\<ShareName>\Certificates\AAD

    Fontos

    Start-SecretRotationA későbbi futtatásakor a rendszer ellenőrzi a mappa szerkezetét.When you run Start-SecretRotation later, it will validate the folder structure. A nem megfelelő mappastruktúrát a következő hibaüzenetet fogja kialakítani:A folder structure that is not compliant will throw the following error:

    Cannot bind argument to parameter 'Path' because it is null.
    + CategoryInfo          : InvalidData: (:) [Test-Certificate], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Test-Certificate
    + PSComputerName        : xxx.xxx.xxx.xxx
    
  7. Másolja ki a #2 lépésben létrehozott helyettesítő külső tanúsítványok új készletét a következő lépésben létrehozott \ <IdentityProvider> \Certificates könyvtárra: #6.Copy the new set of replacement external certificates created in step #2, to the \Certificates\<IdentityProvider> directory created in step #6. Ügyeljen rá, hogy kövesse a cert.<regionName>.<externalFQDN> következő formátumot: <CertName> .Be sure to follow the cert.<regionName>.<externalFQDN> format for <CertName>.

    Az alábbi példa egy, az Azure AD-identitás-szolgáltatóhoz tartozó mappastruktúrát szemlélteti:Here's an example of a folder structure for the Azure AD Identity Provider:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    
    

VáltoztatásRotation

A külső titkok elforgatásához hajtsa végre az alábbi lépéseket:Complete the following steps to rotate external secrets:

  1. A titkok elforgatásához használja az alábbi PowerShell-szkriptet.Use the following PowerShell script to rotate the secrets. A parancsfájlhoz hozzá kell férnie egy kiemelt jogosultságú végpont (PEP) munkamenethez.The script requires access to a Privileged EndPoint (PEP) session. A PEP egy távoli PowerShell-munkameneten keresztül érhető el a PEP-t futtató virtuális gépen (VM).The PEP is accessed through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. Ha integrált rendszert használ, a PEP három példánya van, amelyek mindegyike egy virtuális gépen (előtag – ERCS01, előtag-ERCS02 vagy előtag-ERCS03) belül fut különböző gazdagépeken.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts. Ha a ASDK használja, ez a virtuális gép neve AzS-ERCS01.If you're using the ASDK, this VM is named AzS-ERCS01. Az értékek frissítése a <placeholder> Futtatás előtt:Update the <placeholder> values before running:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    # Run Secret Rotation
    $CertPassword = ConvertTo-SecureString "<Cert_Password>" -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
    }
    Remove-PSSession -Session $PEPSession
    

    A szkript a következő lépéseket hajtja végre:The script performs the following steps:

    • Létrehoz egy PowerShell-munkamenetet a privilegizált végponttal a CloudAdmin -fiók használatával, és változóként tárolja a munkamenetet.Creates a PowerShell Session with the Privileged endpoint using the CloudAdmin account, and stores the session as a variable. Ezt a változót paraméterként használjuk a következő lépésben.This variable is used as a parameter in the next step.

    • Futtatja a Meghívási parancsot, és a (z -Session ) paraméterként átadja a PEP-munkamenet változót.Runs Invoke-Command, passing the PEP session variable as the -Session parameter.

    • A Start-SecretRotation következő paraméterek használatával fut a PEP-munkamenetben:Runs Start-SecretRotation in the PEP session, using the following parameters:

      • -PfxFilesPath: A korábban létrehozott tanúsítványok könyvtárának hálózati elérési útja.-PfxFilesPath: The network path to your Certificates directory created earlier.
      • -PathAccessCredential: Az PSCredential objektum a megosztás hitelesítő adataihoz.-PathAccessCredential: The PSCredential object for credentials to the share.
      • -CertificatePassword: A létrehozott pfx-tanúsítványfájl jelszavának biztonságos karakterlánca.-CertificatePassword: A secure string of the password used for all of the pfx certificate files created.
  2. A külső titkos kód elforgatása körülbelül egy órát vesz igénybe.External secret rotation takes approximately one hour. A sikeres befejezést követően a konzol egy üzenetet jelenít meg, majd a következőt ActionPlanInstanceID ... CurrentStatus: Completed : DONE .After successful completion, your console will display a ActionPlanInstanceID ... CurrentStatus: Completed message, followed by DONE. Távolítsa el a tanúsítványokat az előkészítés szakaszban létrehozott megosztásból, és tárolja őket a biztonságos biztonsági mentési helyükön.Remove your certificates from the share created in the Preparation section and store them in their secure backup location.

    Megjegyzés

    Ha a titkos kód elforgatása meghiúsul, kövesse a hibaüzenetben található utasításokat, és futtassa újra Start-SecretRotation a -ReRun paraméterrel.If secret rotation fails, follow the instructions in the error message and re-run Start-SecretRotation with the -ReRun parameter.

    Start-SecretRotation -ReRun
    

    Ha ismétlődő titkos rotációs hibát tapasztal, forduljon az ügyfélszolgálathoz.Contact support if you experience repeated secret rotation failures.

Belső titkok elforgatásaRotate internal secrets

A belső titkok közé tartoznak az Azure Stack hub-infrastruktúra által használt tanúsítványok, jelszavak, biztonságos karakterláncok és kulcsok, az Azure Stack hub-kezelő beavatkozása nélkül.Internal secrets include certificates, passwords, secure strings, and keys used by the Azure Stack Hub infrastructure, without intervention of the Azure Stack Hub Operator. A belső titkos kód elforgatása csak akkor szükséges, ha azt gyanítja, hogy az egyik sérült, vagy lejárati riasztást kapott.Internal secret rotation is only required if you suspect one has been compromised, or you've received an expiration alert.

Az 1811-es előtti üzembe helyezések riasztásokat látnak a függőben lévő belső tanúsítvány vagy a titkos lejáratok esetében.Pre-1811 deployments may see alerts for pending internal certificate or secret expirations. Ezek a riasztások pontatlanok, és figyelmen kívül hagyhatók, és ismert probléma történt a 1811-es megoldásban.These alerts are inaccurate and should be ignored, and are a known issue resolved in 1811.

A belső titkok elforgatásához hajtsa végre az alábbi lépéseket:Complete the following steps to rotate internal secrets:

  1. Futtassa a következő PowerShell-szkriptet.Run the following PowerShell script. Figyelje meg, hogy a belső titkos kód elforgatásakor a "titkos kód futtatása" szakasz csak a -Internal paramétert használja a Start-SecretRotation parancsmaghoz:Notice for internal secret rotation, the "Run Secret Rotation" section uses only the -Internal parameter to the Start-SecretRotation cmdlet:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Megjegyzés

    Az 1811 előtti verziókban nincs szükség a -Internal jelzőre.Pre-1811 versions don't require the -Internal flag.

  2. A sikeres befejezést követően a konzol egy üzenetet jelenít meg, majd a következőt ActionPlanInstanceID ... CurrentStatus: Completed : DONE .After successful completion, your console will display a ActionPlanInstanceID ... CurrentStatus: Completed message, followed by DONE.

    Megjegyzés

    Ha a titkos kód elforgatása meghiúsul, kövesse a hibaüzenetben található utasításokat, és futtassa újra Start-SecretRotation a -Internal és a -ReRun paramétereket.If secret rotation fails, follow the instructions in the error message and rerun Start-SecretRotation with the -Internal and -ReRun parameters.

    Start-SecretRotation -Internal -ReRun
    

    Ha ismétlődő titkos rotációs hibát tapasztal, forduljon az ügyfélszolgálathoz.Contact support if you experience repeated secret rotation failures.

A BMC hitelesítő adatainak frissítéseUpdate the BMC credential

A alaplapi-kezelő vezérlő figyeli a kiszolgálók fizikai állapotát.The baseboard management controller monitors the physical state of your servers. A BMC felhasználói fiók nevének és jelszavának frissítéséhez tekintse meg az eredeti berendezésgyártó (OEM) hardver gyártójával kapcsolatos utasításokat.Refer to your original equipment manufacturer (OEM) hardware vendor for instructions to update the user account name and password of the BMC.

Megjegyzés

A SZÁMÍTÓGÉPGYÁRTÓ további felügyeleti alkalmazásokat is biztosíthat.Your OEM may provide additional management apps. Más felügyeleti alkalmazások felhasználónevének vagy jelszavának frissítése nincs hatással a BMC-felhasználónévre vagy-jelszóra.Updating the user name or password for other management apps has no effect on the BMC user name or password.

  1. Frissítse a BMC-t az Azure Stack hub fizikai kiszolgálókon az OEM-utasítások követésével.Update the BMC on the Azure Stack Hub physical servers by following your OEM instructions. A környezet minden egyes BMC-beli felhasználónevének és jelszavának azonosnak kell lennie.The user name and password for each BMC in your environment must be the same. A BMC-felhasználónevek száma nem lehet hosszabb 16 karakternél.The BMC user names can't exceed 16 characters.
  1. Már nem szükséges, hogy először frissítse a BMC hitelesítő adatait az Azure Stack hub fizikai kiszolgálókon az OEM-utasítások követésével.It's no longer required that you first update the BMC credentials on the Azure Stack Hub physical servers by following your OEM instructions. A környezet minden egyes BMC-beli felhasználónevének és jelszavának azonosnak kell lennie, és nem lehet hosszabb 16 karakternél.The user name and password for each BMC in your environment must be the same, and can't exceed 16 characters.
  1. Nyisson meg egy kiemelt jogosultságú végpontot Azure Stack hub-munkamenetekben.Open a privileged endpoint in Azure Stack Hub sessions. Útmutatásért lásd: a privilegizált végpont használata Azure stack központban.For instructions, see Using the privileged endpoint in Azure Stack Hub.

  2. Egy emelt szintű végpont-munkamenet megnyitása után futtassa az alábbi PowerShell-parancsfájlok egyikét, amely a set-BmcCredential futtatásához Invoke-Command használ.After opening a privileged endpoint session, run one of the PowerShell scripts below, which use Invoke-Command to run Set-BmcCredential. Ha a választható-BypassBMCUpdate paramétert használja a set-BMCCredential, a BMC-ben a hitelesítő adatok nem frissülnek.If you use the optional -BypassBMCUpdate parameter with Set-BMCCredential, credentials in the BMC aren't updated. Csak az Azure Stack hub belső adattár frissül. Adja át a Kiemelt végponti munkamenet-változót paraméterként.Only the Azure Stack Hub internal datastore is updated.Pass your privileged endpoint session variable as a parameter.

    Íme egy példa egy PowerShell-szkriptre, amely a Felhasználónév és a jelszó megadását kéri:Here's an example PowerShell script that will prompt for user name and password:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    A felhasználónevet és a jelszót is elvégezheti a változókban, ami kevésbé biztonságos lehet:You can also encode the user name and password in variables, which may be less secure:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString "<Privileged Endpoint Password>" -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString "<New BMC Password>" -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Hivatkozás: Start-SecretRotation parancsmagReference: Start-SecretRotation cmdlet

A Start-SecretRotation parancsmag egy Azure stack hub-rendszer infrastruktúra-titkait elforgatja.Start-SecretRotation cmdlet rotates the infrastructure secrets of an Azure Stack Hub system. Ezt a parancsmagot csak az Azure Stack hub privilegizált végpontján lehet végrehajtani, egy parancsfájl-blokk használatával, amely a (z Invoke-Command ) paraméterben a PEP-munkamenetet továbbítja -Session .This cmdlet can only be executed against the Azure Stack Hub privileged endpoint, by using an Invoke-Command script block passing the PEP session in the -Session parameter. Alapértelmezés szerint csak az összes külső hálózati infrastruktúra-végpont tanúsítványait forgatja.By default, it rotates only the certificates of all external network infrastructure endpoints.

ParaméterParameter TípusType KötelezőRequired PozícióPosition AlapértelmezettDefault LeírásDescription
PfxFilesPath SztringString HamisFalse ElemziNamed NincsNone A \Certificates könyvtár fájlmegosztás elérési útja, amely az összes külső hálózati végpont tanúsítványát tartalmazza.The fileshare path to the \Certificates directory containing all external network endpoint certificates. Csak külső titkok elforgatásakor szükséges.Only required when rotating external secrets. A befejező könyvtárnak \Certificates kell lennie.End directory must be \Certificates.
CertificatePassword SecureStringSecureString HamisFalse ElemziNamed NincsNone A-PfXFilesPath megadott összes tanúsítvány jelszava.The password for all certificates provided in the -PfXFilesPath. Kötelező érték, ha a PfxFilesPath a külső titkos kódok elforgatásakor van megadva.Required value if PfxFilesPath is provided when external secrets are rotated.
Internal SztringString HamisFalse ElemziNamed NincsNone A belső jelzőt csak akkor kell használni, amikor egy Azure Stack hub operátor belső infrastruktúra-titkokat kíván forgatni.Internal flag must be used anytime an Azure Stack Hub operator wishes to rotate internal infrastructure secrets.
PathAccessCredential PSCredentialPSCredential HamisFalse ElemziNamed NincsNone Az összes külső hálózati végpont tanúsítványát tartalmazó \Certificates könyvtár fájlmegosztás tartozó PowerShell-hitelesítő adat.The PowerShell credential for the fileshare of the \Certificates directory containing all external network endpoint certificates. Csak külső titkok elforgatásakor szükséges.Only required when rotating external secrets.
ReRun KapcsolóparaméterSwitchParameter HamisFalse ElemziNamed NincsNone A rendszer a sikertelen kísérlet után újrapróbálkozik a titkos kód megfordításával.Must be used anytime secret rotation is reattempted after a failed attempt.

SyntaxSyntax

Külső titkos kód elforgatásáhozFor external secret rotation

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Belső titkos kód elforgatásáhozFor internal secret rotation

Start-SecretRotation [-Internal]  

A külső titkos kód elforgatásának újrafuttatásaFor external secret rotation rerun

Start-SecretRotation [-ReRun]

A belső titok elforgatásának újrafuttatásaFor internal secret rotation rerun

Start-SecretRotation [-ReRun] [-Internal]

PéldákExamples

Csak belső infrastruktúra-titkok elforgatásaRotate only internal infrastructure secrets

Ezt a parancsot az Azure Stack hub- környezet privilegizált végpontjánkeresztül kell futtatni.This command must be run via your Azure Stack Hub environment's privileged endpoint.

PS C:\> Start-SecretRotation -Internal

Ez a parancs elforgatja az Azure Stack hub belső hálózata számára elérhető összes infrastruktúra-titkot.This command rotates all of the infrastructure secrets exposed to the Azure Stack Hub internal network.

Csak a külső infrastruktúra titkainak elforgatásaRotate only external infrastructure secrets

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString "<CertPasswordHere>" -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {  
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Ez a parancs elforgatja Azure Stack hub külső hálózati infrastruktúra-végpontokhoz használt TLS-tanúsítványokat.This command rotates the TLS certificates used for Azure Stack Hub's external network infrastructure endpoints.

Belső és külső infrastruktúra-titkok elforgatása (csak előre 1811 )Rotate internal and external infrastructure secrets (pre-1811 only)

Fontos

Ez a parancs csak a 1811 -es Azure stack hub esetében érvényes, mivel az elforgatás a belső és külső tanúsítványokra van bontva.This command only applies to Azure Stack Hub pre-1811 as the rotation has been split for internal and external certificates.

A 1811 -től kezdve a belső és a külső tanúsítványok már nem forgathatók el.From 1811+ you can't rotate both internal and external certificates anymore!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString "<CertPasswordHere>" -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Ez a parancs elforgatja Azure Stack hub belső hálózata számára elérhető infrastruktúra-titkokat, valamint a Azure Stack hub külső hálózati infrastruktúra-végpontokhoz használt TLS-tanúsítványokat.This command rotates the infrastructure secrets exposed to Azure Stack Hub internal network, and the TLS certificates used for Azure Stack Hub's external network infrastructure endpoints. Start-SecretRotation elforgatja az összes verem által generált titkot, és mivel vannak megadott tanúsítványok, a külső végponti tanúsítványok is el lesznek forgatva.Start-SecretRotation rotates all stack-generated secrets, and because there are provided certificates, external endpoint certificates will also be rotated.

További lépésekNext steps

További információ a Azure Stack hub biztonságárólLearn more about Azure Stack Hub security