Titkos kulcsok rotálása az Event Hubshoz az Azure Stack Hubon

Cikk
03/29/2024

Ez a cikk bemutatja, hogyan forgathatja el az Event Hubs erőforrás-szolgáltató által használt titkos kulcsokat.

Áttekintés és előfeltételek

Megjegyzés

Az érték hozzáadása erőforrás-szolgáltatók (RP-k) titkos kulcsainak rotálása jelenleg csak a PowerShellen keresztül támogatott. Emellett rendszeresen el kell forgatnia a titkos kulcsokat az érték hozzáadásával rendelkező RP-khez, mivel a rendszergazdai riasztások jelenleg nem jönnek létre.

Az Azure Stack Hub-infrastruktúrához hasonlóan az érték hozzáadása erőforrás-szolgáltatók belső és külső titkos kódokat is használnak. A titkos kulcsok többféle formában is használhatók, beleértve a jelszavakat és az X509-tanúsítványok által fenntartott titkosítási kulcsokat. Operátorként a következőkért felelős:

Frissített külső titkos kulcsok, például új TLS-tanúsítvány biztosítása az erőforrás-szolgáltatói végpontok védelméhez.
Az erőforrás-szolgáltatói titkos kulcsok rotálásának rendszeres kezelése.

A forgatási folyamat előkészítése során:

Az X509-tanúsítvány beszerzése/megújítása előtt tekintse át az Azure Stack Hub nyilvános kulcsú infrastruktúra (PKI) tanúsítványkövetelményeit , beleértve a szükséges PFX-formátum részleteit is. Tekintse át a Választható PaaS-tanúsítványok szakaszban megadott követelményeket is az adott érték hozzáadása erőforrás-szolgáltatóhoz.
Ha még nem tette meg, a folytatás előtt telepítse az Azure Stack Hubhoz készült PowerShell Az modult . Az Azure Stack Hub titkos kulcsainak rotálásához a 2.0.2-es vagy újabb verzió szükséges. További információ: Migrálás az AzureRM-ből Azure PowerShell Az-be az Azure Stack Hubban.

Új TLS-tanúsítvány előkészítése

Ezután hozza létre vagy újítsa meg a TLS-tanúsítványt az érték hozzáadása erőforrás-szolgáltató végpontok védelméhez:

Végezze el a Tanúsítvány-aláírási kérések (CSR-ek) létrehozása az erőforrás-szolgáltató tanúsítványmegújításához című szakasz lépéseit. Itt az Azure Stack Hub készenlét-ellenőrző eszközével hozza létre a CSR-t. Győződjön meg arról, hogy a megfelelő parancsmagot futtatja az erőforrás-szolgáltatóhoz a "Tanúsítványkérelmek létrehozása más Azure Stack Hub-szolgáltatásokhoz" lépésben. Például New-AzsHubEventHubsCertificateSigningRequest az Event Hubshoz használatos. Ha végzett, elküldi a létrehozott elemet. REQ-fájl az új tanúsítvány hitelesítésszolgáltatójához.
Miután megkapta a tanúsítványfájlt a hitelesítésszolgáltatótól, végezze el a Tanúsítványok előkészítése az üzembe helyezéshez vagy a rotáláshoz című témakör lépéseit. A hitelesítésszolgáltatótól kapott fájl feldolgozásához használja ismét a Készenlét-ellenőrző eszközt.
Végül hajtsa végre az Azure Stack Hub PKI-tanúsítványainak érvényesítése című témakör lépéseit. A Készenlét-ellenőrző eszközzel még egyszer érvényesítési teszteket hajthat végre az új tanúsítványon.

Titkos kulcsok elforgatása

Végül határozza meg az erőforrás-szolgáltató legújabb üzembehelyezési tulajdonságait, és használja őket a titkos kulcsok rotálási folyamatának befejezéséhez.

Üzembehelyezési tulajdonságok meghatározása

Az erőforrás-szolgáltatók verziószámozott termékcsomagként vannak üzembe helyezve az Azure Stack Hub-környezetben. A csomagokhoz egy egyedi csomagazonosító van hozzárendelve, a következő formátumban '<product-id>.<installed-version>': . Ahol <product-id> az erőforrás-szolgáltatót jelölő egyedi sztring, és <installed-version> egy adott verziót jelöl. Az egyes csomagokhoz társított titkos kódokat az Azure Stack Hub Key Vault szolgáltatás tárolja.

Nyisson meg egy emelt szintű PowerShell-konzolt, és hajtsa végre az alábbi lépéseket az erőforrás-szolgáltató titkos kulcsainak elforgatásához szükséges tulajdonságok meghatározásához:

Jelentkezzen be az Azure Stack Hub-környezetbe az operátori hitelesítő adataival. Lásd: Csatlakozás az Azure Stack Hubhoz a PowerShell-lel a PowerShell bejelentkezési szkriptjével. Ügyeljen arra, hogy az AzureRM helyett a PowerShell Az parancsmagokat használja, és cserélje le az összes helyőrző értéket, például a végpont URL-címét és a címtárbérlő nevét.

Futtassa a Get-AzsProductDeployment parancsmagot a legújabb erőforrás-szolgáltatói üzemelő példányok listájának lekéréséhez. A visszaadott "value" gyűjtemény minden üzembe helyezett erőforrás-szolgáltatóhoz tartalmaz egy elemet. Keresse meg a megfelelő erőforrás-szolgáltatót, és jegyezze fel az alábbi tulajdonságok értékeit:

"name" – az erőforrás-szolgáltató termékazonosítóját tartalmazza az érték második szegmensében.
"properties"."deployment"."version" - a jelenleg üzembe helyezett verziószámot tartalmazza.

Az alábbi példában figyelje meg az Event Hubs RP üzembe helyezését a gyűjtemény első elemében, amelynek termékazonosítója "microsoft.eventhub"és verziója "1.2003.0.0":

PS C:\WINDOWS\system32> Get-AzsProductDeployment -AsJson
VERBOSE: GET https://adminmanagement.myregion.mycompany.com/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productDeployments?api-version=2019-01-01 with 0-char payload
VERBOSE: Received 2656-char response, StatusCode = OK
{
    "value":  [
                  {
                      "id":  "/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productDeployments/microsoft.eventhub",
                      "name":  "global/microsoft.eventhub",
                      "type":  "Microsoft.Deployment.Admin/locations/productDeployments",
                      "properties":  {
                                         "status":  "DeploymentSucceeded",
                                         "subscriptionId":  "b37ae55a-a6c6-4474-ba97-81519412adf5",
                                         "deployment":  {
                                                            "version":  "1.2003.0.0",
                                                            "actionPlanInstanceResourceId":"/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/actionplans/abcdfcd3-fef0-z1a3-z85d-z6ceb0f31e36",
                                                            "parameters":  {

                                                                           }
                                                        },
                                         "lastSuccessfulDeployment":  {
                                                                          "version":  "1.2003.0.0",
                                                                          "actionPlanInstanceResourceId":"/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/actionplans/abcdfcd3-fef0-z1a3-z85d-z6ceb0f31e36",
                                                                          "parameters":  {

                                                                                         }
                                                                      },
                                         "provisioningState":  "Succeeded"
                                     }
                  },
                  {
                  ...
                  }
              ]
}

Hozza létre az erőforrás-szolgáltató csomagazonosítóját az erőforrás-szolgáltató termékazonosítójának és verziójának összefűzésével. Az előző lépésben származtatott értékeket használva például az Event Hubs RP csomagazonosítója .microsoft.eventhub.1.2003.0.0

Az előző lépésben származtatott csomagazonosító használatával futtassa a parancsot Get-AzsProductSecret -PackageId az erőforrás-szolgáltató által használt titkos kódtípusok listájának lekéréséhez. A visszaadott value gyűjteményben keresse meg a tulajdonság értékét "Certificate""properties"."secretKind" tartalmazó elemet. Ez az elem az RP tanúsítványtitkának tulajdonságait tartalmazza. Jegyezze fel a tanúsítványkulcshoz rendelt nevet, amelyet a tulajdonság utolsó szegmense "name" azonosít közvetlenül a felett "properties".

Az alábbi példában az Event Hubs RP-hez visszaadott titkos kulcsgyűjtemény tartalmaz egy "Certificate" nevű aseh-ssl-gateway-pfxtitkos kódot.

PS C:\WINDOWS\system32> Get-AzsProductSecret -PackageId 'microsoft.eventhub.1.2003.0.0' -AsJson
VERBOSE: GET
https://adminmanagement.myregion.mycompany.com/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets?api-version=2019-01-01 with 0-char payload
VERBOSE: Received 617-char response, StatusCode = OK
{
    "value":  [
                    {
                        "id":  "/subscriptions/ze22ca96-z546-zbc6-z566-z35f68799816/providers/Microsoft.Deployment.Admin/locations/global/productPackages/microsoft.eventhub.1.2003.0.0/secrets/aseh-ssl-gateway-pfx",
                        "name":  "global/microsoft.eventhub.1.2003.0.0/aseh-ssl-gateway-pfx",
                        "type":  "Microsoft.Deployment.Admin/locations/productPackages/secrets",
                        "properties":  {
                                        "secretKind":  "Certificate",
                                        "description":  "Event Hubs gateway SSL certificate.",
                                        "expiresAfter":  "P730D",
                                        "secretDescriptor":  {

                                                                },
                                        "secretState":  {
                                                            "status":  "Deployed",
                                                            "rotationStatus":  "None",
                                                            "expirationDate":  "2022-03-31T00:16:05.3068718Z"
                                                        },
                                        "provisioningState":  "Succeeded"
                                    }
                    },
                    ...
                ]
}

A titkos kulcsok elforgatása

Set-AzsProductSecret A parancsmaggal importálja az új tanúsítványt a Key Vault, amelyet a rotációs folyamat fog használni. Cserélje le a változó helyőrző értékeit ennek megfelelően a szkript futtatása előtt:

Helyőrző	Description	Példaérték
`<product-id>`	Az erőforrás-szolgáltató legújabb üzembe helyezésének termékazonosítója.	`microsoft.eventhub`
`<installed-version>`	Az erőforrás-szolgáltató legújabb üzemelő példányának verziója.	`1.2003.0.0`
`<cert-secret-name>`	A titkos tanúsítványtitkot tároló név.	`aseh-ssl-gateway-pfx`
`<cert-pfx-file-path>`	A tanúsítvány PFX-fájljának elérési útja.	`C:\dir\eh-cert-file.pfx`
`<pfx-password>`	A tanúsítványhoz rendelt jelszó. PFX-fájl.	`strong@CertSecret6`

$productId = '<product-id>'
$packageId = $productId + '.' + '<installed-version>'
$certSecretName = '<cert-secret-name>' 
$pfxFilePath = '<cert-pfx-file-path>'
$pfxPassword = ConvertTo-SecureString '<pfx-password>' -AsPlainText -Force   
Set-AzsProductSecret -PackageId $packageId -SecretName $certSecretName -PfxFileName $pfxFilePath -PfxPassword $pfxPassword -Force

Végül a Invoke-AzsProductRotateSecretsAction parancsmaggal forgassa el a belső és külső titkos kulcsokat:

Megjegyzés

A forgatási folyamat körülbelül 3,5–4 órát vesz igénybe.
```
Invoke-AzsProductRotateSecretsAction -ProductId $productId
```
A titkos kulcsok rotálásának előrehaladását a PowerShell-konzolon vagy a felügyeleti portálon is monitorozhatja, ha kiválasztja az erőforrás-szolgáltatót a Marketplace szolgáltatásban:

Hibaelhárítás

A titkos kulcsok rotációja hiba nélkül sikeresen befejeződik. Ha a rendszergazdai portálon az alábbi feltételek bármelyikét tapasztalja, nyisson meg egy támogatási kérést :

Hitelesítési problémák, beleértve az Event Hubs erőforrás-szolgáltatóhoz való csatlakozással kapcsolatos problémákat.
Nem lehet frissíteni az erőforrás-szolgáltatót, vagy szerkeszteni a konfigurációs paramétereket.
A használati metrikák nem jelennek meg.
A számlák nem jönnek létre.
A biztonsági mentések nem történnek.

Következő lépések

Az Azure Stack Hub-infrastruktúra titkos kulcsainak rotálásával kapcsolatos részletekért lásd: Titkos kódok rotálása az Azure Stack Hubban.

Megosztás a következőn keresztül: