Rotacja wpisów tajnych w usłudze Azure Stack HubRotate secrets in Azure Stack Hub

Ten artykuł zawiera wskazówki dotyczące przeprowadzania rotacji kluczy tajnych w celu zapewnienia bezpiecznej komunikacji przy użyciu zasobów i usług infrastruktury centrum Azure Stack.This article provides guidance for performing secret rotation, to help maintain secure communication with Azure Stack Hub infrastructure resources and services.

OmówienieOverview

Azure Stack Hub używa kluczy tajnych w celu zapewnienia bezpiecznej komunikacji z zasobami i usługami infrastruktury.Azure Stack Hub uses secrets to maintain secure communication with infrastructure resources and services. Aby zachować integralność infrastruktury centrum Azure Stack, operatorzy muszą mieć możliwość rotacji wpisów tajnych o częstotliwościach, które są zgodne z wymaganiami firmy dotyczącymi bezpieczeństwa.To maintain the integrity of the Azure Stack Hub infrastructure, operators need the ability to rotate secrets at frequencies that are consistent with their organization's security requirements.

Gdy wpisy tajne zbliżają się do wygaśnięcia, w portalu administratora są generowane następujące alerty.When secrets are nearing expiration, the following alerts are generated in the administrator portal. Ukończenie rotacji kluczy tajnych spowoduje rozwiązanie tych alertów:Completing secret rotation will resolve these alerts:

  • Oczekiwanie na wygaśnięcie hasła konta usługiPending service account password expiration
  • Oczekiwanie na wygaśnięcie certyfikatu wewnętrznegoPending internal certificate expiration
  • Oczekiwanie na wygaśnięcie certyfikatu zewnętrznegoPending external certificate expiration

Ostrzeżenie

W portalu administratora zostały wyzwolone 2 etapy alertów przed wygaśnięciem:There are 2 phases of alerts triggered in the administrator portal prior to expiration:

  • 90 dni przed wygaśnięciem alertu ostrzegawczego.90 days before expiration a warning alert is generated.
  • przed wygaśnięciem zostanie wygenerowany alert o krytycznym okresie 30 dni.30 days before expiration a critical alert is generated.

Jeśli otrzymasz te powiadomienia, krytyczne jest przeprowadzenie tajnego obrotu. Niewykonanie tej czynności może spowodować utratę obciążeń i możliwe Azure Stack ponownego wdrożenia centrum na własny koszt.It's critical that you complete secret rotation if you receive these notifications. Failure to do so can cause the loss of workloads and possible Azure Stack Hub redeployment at your own expense!

Aby uzyskać więcej informacji na temat monitorowania i korygowania alertów, zobacz monitorowanie kondycji i alertów w centrum Azure Stack.For more information on alert monitoring and remediation, refer to Monitor health and alerts in Azure Stack Hub.

Uwaga

Środowiska Azure Stack Hub w wersjach sprzed 1811 mogą wyświetlać alerty dotyczące oczekujących certyfikatów wewnętrznych lub ważności tajnych.Azure Stack Hub environments on pre-1811 versions may see alerts for pending internal certificate or secret expirations. Te alerty są niedokładne i powinny być ignorowane bez uruchamiania wewnętrznego klucza tajnego.These alerts are inaccurate and should be ignored without running internal secret rotation. Niedokładne alerty wewnętrznych wpisów tajnych to znany problem, który został rozwiązany w 1811.Inaccurate internal secret expiration alerts are a known issue that's resolved in 1811. Wewnętrzne wpisy tajne nie wygasną, chyba że środowisko było aktywne przez dwa lata.Internal secrets won't expire unless the environment has been active for two years.

Wymagania wstępnePrerequisites

  1. Zdecydowanie zaleca się, aby najpierw zaktualizować wystąpienie centrum Azure Stack do najnowszej wersji.It's highly recommended that you first update your Azure Stack Hub instance to the latest version.

    Ważne

    Wersje sprzed 1811:For pre-1811 versions:

    • Jeśli rotacja kluczy tajnych została już wykonana, należy zaktualizować do wersji 1811 lub nowszej przed ponownym przeprowadzeniem ponownego obrotu.If secret rotation has already been performed, you must update to version 1811 or later before you perform secret rotation again. Rotacja kluczy tajnych musi być wykonywana za pośrednictwem uprzywilejowanego punktu końcowego i wymaga poświadczeń operatora Azure Stack Hub.Secret Rotation must be executed via the Privileged Endpoint and requires Azure Stack Hub Operator credentials. Jeśli nie wiesz, czy w danym środowisku został uruchomiony rotacja kluczy tajnych, zaktualizuj do 1811 przed przeprowadzeniem tajnego obrotu.If you don't know whether secret rotation has been run on your environment, update to 1811 before performing secret rotation.
    • Nie trzeba obrócić wpisów tajnych w celu dodania certyfikatów hosta rozszerzenia.You don't need to rotate secrets to add extension host certificates. Należy postępować zgodnie z instrukcjami zawartymi w artykule przygotowanie do hosta rozszerzenia w celu Azure Stack Hub , aby dodać certyfikaty hosta rozszerzenia.You should follow the instructions in the article Prepare for extension host for Azure Stack Hub to add extension host certificates.
  2. Powiadamiaj użytkowników o planowanych operacjach konserwacji.Notify your users of planned maintenance operations. Zaplanuj normalne okna obsługi, tak jak to możliwe, w godzinach poza godzinami pracy.Schedule normal maintenance windows, as much as possible, during non-business hours. Operacje konserwacji mogą mieć wpływ na obciążenia użytkowników i operacje portalu.Maintenance operations may affect both user workloads and portal operations.

  3. Podczas rotacji wpisów tajnych operatory mogą zauważyć, że alerty są otwarte i automatycznie zamykane.During rotation of secrets, operators may notice alerts open and automatically close. Jest to oczekiwane zachowanie, a wyświetlane alerty można zignorować.This behavior is expected and the alerts can be ignored. Operatory mogą weryfikować ważność tych alertów za pomocą polecenia cmdlet Test-AzureStack programu PowerShell.Operators can verify the validity of these alerts using the Test-AzureStack PowerShell cmdlet. W przypadku operatorów używających System Center Operations Manager do monitorowania systemów Azure Stack Hub umieszczenie systemu w trybie konserwacji uniemożliwi wykonywanie tych alertów w systemach narzędzia ITSM, ale w przypadku niedostępności systemu Centrum Azure Stack.For operators using System Center Operations Manager to monitor Azure Stack Hub systems, placing a system in maintenance mode will prevent these alerts from reaching their ITSM systems, but will continue to alert if the Azure Stack Hub system becomes unreachable.

Obróć zewnętrzne wpisy tajneRotate external secrets

Ważne

Obrót zewnętrznego wpisu tajnego dla:External secret rotation for:

W tej sekcji omówiono wymianę certyfikatów używanych do zabezpieczania usług zewnętrznych.This section covers rotation of certificates used to secure external-facing services. Te certyfikaty są udostępniane przez operator Azure Stack Hub dla następujących usług:These certificates are provided by the Azure Stack Hub Operator, for the following services:

  • Portal administratoraAdministrator portal
  • Portal publicznyPublic portal
  • Azure Resource Manager administratoraAdministrator Azure Resource Manager
  • Azure Resource Manager globalneGlobal Azure Resource Manager
  • Key Vault administratoraAdministrator Key Vault
  • Key VaultKey Vault
  • Host rozszerzenia administratoraAdmin Extension Host
  • ACS (w tym obiekty blob, tabela i magazyn kolejek)ACS (including blob, table, and queue storage)
  • USŁUG AD FS*ADFS*
  • Ziół*Graph*

*Ma zastosowanie w przypadku korzystania z usług federacyjnych Active Directory (AD FS).*Applicable when using Active Directory Federated Services (AD FS).

PrzygotowaniePreparation

Przed rotacją zewnętrznych wpisów tajnych:Prior to rotation of external secrets:

  1. Uruchom Test-AzureStack polecenie cmdlet programu PowerShell przy użyciu -group SecretRotationReadiness parametru, aby potwierdzić, że wszystkie wyniki testów są zdrowe przed obróceniem wpisów tajnych.Run the Test-AzureStack PowerShell cmdlet using the -group SecretRotationReadiness parameter, to confirm all test outputs are healthy before rotating secrets.

  2. Przygotuj nowy zestaw zastępczych certyfikatów zewnętrznych:Prepare a new set of replacement external certificates:

    • Nowy zestaw musi odpowiadać specyfikacjom certyfikatu przedstawionym w wymaganiach dotyczących certyfikatu PKI centrum Azure Stack.The new set must match the certificate specifications outlined in the Azure Stack Hub PKI certificate requirements.

    • Wygeneruj żądanie podpisania certyfikatu (CSR) do przesłania do urzędu certyfikacji.Generate a certificate signing request (CSR) to submit to your Certificate Authority (CA). Wykonaj kroki opisane w temacie generowanie żądań podpisania certyfikatów i przygotuj je do użycia w środowisku centrum Azure Stack, wykonując czynności opisane w temacie przygotowanie certyfikatów PKI.Use the steps outlined in Generate certificate signing requests and prepare them for use in your Azure Stack Hub environment using the steps in Prepare PKI certificates. Azure Stack Hub obsługuje rotację kluczy tajnych certyfikatów zewnętrznych od nowego urzędu certyfikacji w następujących kontekstach:Azure Stack Hub supports secret rotation for external certificates from a new Certificate Authority (CA) in the following contexts:

      Obróć z urzędu certyfikacjiRotate from CA Obróć do urzędu certyfikacjiRotate to CA Obsługa wersji centrum Azure StackAzure Stack Hub version support
      Self-SignedSelf-Signed PrzedsiębiorstwaEnterprise 1903 & później1903 & later
      Self-SignedSelf-Signed Self-SignedSelf-Signed NieobsługiwaneNot Supported
      Self-SignedSelf-Signed Społeczeństwo*Public* 1803 & później1803 & later
      PrzedsiębiorstwaEnterprise PrzedsiębiorstwaEnterprise 1803 & później; 1803-1903 Jeśli urząd certyfikacji przedsiębiorstwa jest używany podczas wdrażania1803 & later; 1803-1903 if SAME enterprise CA as used at deployment
      PrzedsiębiorstwaEnterprise Self-SignedSelf-Signed NieobsługiwaneNot Supported
      PrzedsiębiorstwaEnterprise Społeczeństwo*Public* 1803 & później1803 & later
      Społeczeństwo*Public* PrzedsiębiorstwaEnterprise 1903 & później1903 & later
      Społeczeństwo*Public* Self-SignedSelf-Signed NieobsługiwaneNot Supported
      Społeczeństwo*Public* Społeczeństwo*Public* 1803 & później1803 & later

      *Częścią zaufanego programu głównego systemu Windows.*Part of the Windows Trusted Root Program.

    • Należy sprawdzić poprawność przygotowanych certyfikatów z krokami opisanymi w temacie weryfikowanie certyfikatów PKIBe sure to validate the certificates you prepare with the steps outlined in Validate PKI Certificates

    • Upewnij się, że w haśle nie ma znaków specjalnych, takich jak * lub ) .Make sure there are no special characters in the password, like * or ).

    • Upewnij się, że szyfrowanie PFX jest TripleDES-SHA1.Make sure the PFX encryption is TripleDES-SHA1. W przypadku napotkania problemu zobacz Rozwiązywanie typowych problemów z certyfikatami PKI centrum Azure Stack.If you run into an issue, see Fix common issues with Azure Stack Hub PKI certificates.

  3. Zapisz kopię zapasową certyfikatów używanych do rotacji w bezpiecznej lokalizacji kopii zapasowej.Store a backup to the certificates used for rotation in a secure backup location. Jeśli obracanie zostanie uruchomione, a następnie zakończy się niepowodzeniem, przed ponownym uruchomieniem obrotu Zastąp certyfikaty w udziale plików kopiami kopii zapasowych.If your rotation runs and then fails, replace the certificates in the file share with the backup copies before you rerun the rotation. Zachowaj kopie zapasowe w bezpiecznej lokalizacji kopii zapasowej.Keep backup copies in the secure backup location.

  4. Utwórz element ERCS, do którego można uzyskać dostęp z maszyn wirtualnych.Create a fileshare you can access from the ERCS VMs. Udział plików musi być czytelny i zapisywalny dla tożsamości CloudAdmin .The file share must be readable and writable for the CloudAdmin identity.

  5. Otwórz konsolę programu PowerShell ISE z komputera, na którym masz dostęp do udziału plików.Open a PowerShell ISE console from a computer where you have access to the fileshare. Przejdź do swojego udziału plików, w którym tworzysz katalogi do umieszczania certyfikatów zewnętrznych.Navigate to your fileshare, where you create directories to place your external certificates.

  6. Pobierz CertDirectoryMaker.ps1 do udziału w sieci, a następnie uruchom skrypt.Download CertDirectoryMaker.ps1 to your network fileshare, and run the script. Skrypt utworzy strukturę folderów, która jest zgodna z .\Certificates\AAD_ lub *.\Certificates\ADFS__, w zależności od dostawcy tożsamości. Twoja struktura folderów musi rozpoczynać się od _ folderu \ Certificates* , a następnie tylko folderu \ AAD lub \ ADFS .The script will create a folder structure that adheres to .\Certificates\AAD_ or _.\Certificates\ADFS_, depending on your identity provider. Your folder structure must begin with a _\Certificates folder, followed by ONLY an \AAD or \ADFS folder. Wszystkie pozostałe podkatalogi są zawarte w poprzedniej strukturze.All remaining subdirectories are contained within the preceding structure. Na przykład:For example:

    • Udział plików = \\<IPAddress>\<ShareName>File share = \\<IPAddress>\<ShareName>
    • Folder główny certyfikatu dla dostawcy usługi Azure AD = \ Certificates\AADCertificate root folder for Azure AD provider = \Certificates\AAD
    • Pełna ścieżka = \ \ <IPAddress> \ <ShareName> \Certificates\AADFull path = \\<IPAddress>\<ShareName>\Certificates\AAD

    Ważne

    Po uruchomieniu Start-SecretRotation później zostanie zweryfikowana Struktura folderu.When you run Start-SecretRotation later, it will validate the folder structure. Niezgodna struktura folderów spowoduje zgłoszenie następującego błędu:A folder structure that is not compliant will throw the following error:

    Cannot bind argument to parameter 'Path' because it is null.
    + CategoryInfo          : InvalidData: (:) [Test-Certificate], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Test-Certificate
    + PSComputerName        : xxx.xxx.xxx.xxx
    
  7. Skopiuj nowy zestaw zastępczych certyfikatów zewnętrznych utworzonych w kroku #2 do katalogu \Certificates \ <IdentityProvider> utworzonego w kroku #6.Copy the new set of replacement external certificates created in step #2, to the \Certificates\<IdentityProvider> directory created in step #6. Upewnij się, że cert.<regionName>.<externalFQDN> Format <CertName> .Be sure to follow the cert.<regionName>.<externalFQDN> format for <CertName>.

    Oto przykład struktury folderów dla dostawcy tożsamości usługi Azure AD:Here's an example of a folder structure for the Azure AD Identity Provider:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    
    

WymianaRotation

Aby obrócić zewnętrzne wpisy tajne, wykonaj następujące czynności:Complete the following steps to rotate external secrets:

  1. Aby obrócić wpisy tajne, użyj następującego skryptu programu PowerShell.Use the following PowerShell script to rotate the secrets. Skrypt wymaga dostępu do sesji uprzywilejowanego punktu końcowego (PEP).The script requires access to a Privileged EndPoint (PEP) session. PEP jest dostępny za pomocą zdalnej sesji programu PowerShell na maszynie wirtualnej (VM), która hostuje PEP.The PEP is accessed through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. Jeśli używasz zintegrowanego systemu, istnieją trzy wystąpienia PEP, z których każda działa wewnątrz maszyny wirtualnej (prefiks-ERCS01, prefix-ERCS02 lub prefix-ERCS03) na różnych hostach.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts. Jeśli używasz ASDK, ta maszyna wirtualna ma nazwę AzS-ERCS01.If you're using the ASDK, this VM is named AzS-ERCS01. Zaktualizuj <placeholder> wartości przed uruchomieniem:Update the <placeholder> values before running:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    # Run Secret Rotation
    $CertPassword = ConvertTo-SecureString "<Cert_Password>" -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
    }
    Remove-PSSession -Session $PEPSession
    

    Skrypt wykonuje następujące kroki:The script performs the following steps:

    • Tworzy sesję programu PowerShell z uprzywilejowanym punktem końcowym przy użyciu konta CloudAdmin i przechowuje sesję jako zmienną.Creates a PowerShell Session with the Privileged endpoint using the CloudAdmin account, and stores the session as a variable. Ta zmienna jest używana jako parametr w następnym kroku.This variable is used as a parameter in the next step.

    • Uruchamia Polecenie Invoke-Command, przekazując ZMIENNĄ sesji PEP jako -Session parametr.Runs Invoke-Command, passing the PEP session variable as the -Session parameter.

    • Działa Start-SecretRotation w sesji PEP przy użyciu następujących parametrów:Runs Start-SecretRotation in the PEP session, using the following parameters:

      • -PfxFilesPath: Ścieżka sieciowa do katalogu certyfikatów utworzona wcześniej.-PfxFilesPath: The network path to your Certificates directory created earlier.
      • -PathAccessCredential: Obiekt PSCredential dla poświadczeń do udziału.-PathAccessCredential: The PSCredential object for credentials to the share.
      • -CertificatePassword: Bezpieczny ciąg hasła używany dla wszystkich utworzonych plików certyfikatu PFX.-CertificatePassword: A secure string of the password used for all of the pfx certificate files created.
  2. Obrót zewnętrznego klucza tajnego trwa około godziny.External secret rotation takes approximately one hour. Po pomyślnym zakończeniu konsoli zostanie wyświetlony ActionPlanInstanceID ... CurrentStatus: Completed komunikat, a następnie polecenie DONE .After successful completion, your console will display a ActionPlanInstanceID ... CurrentStatus: Completed message, followed by DONE. Usuń certyfikaty z udziału utworzonego w sekcji Przygotowanie i Zapisz je w swojej zabezpieczonej lokalizacji kopii zapasowej.Remove your certificates from the share created in the Preparation section and store them in their secure backup location.

    Uwaga

    Jeśli rotacja kluczy tajnych nie powiedzie się, postępuj zgodnie z instrukcjami w komunikacie o błędzie i uruchom je ponownie Start-SecretRotation przy użyciu -ReRun parametru.If secret rotation fails, follow the instructions in the error message and re-run Start-SecretRotation with the -ReRun parameter.

    Start-SecretRotation -ReRun
    

    Skontaktuj się z pomocą techniczną, jeśli wystąpią błędy rotacji kluczy tajnych.Contact support if you experience repeated secret rotation failures.

Obróć wewnętrzne wpisy tajneRotate internal secrets

Wewnętrzne wpisy tajne obejmują certyfikaty, hasła, ciągi bezpieczne i klucze używane przez infrastrukturę centrum Azure Stack bez interwencji operatora Azure Stack Hub.Internal secrets include certificates, passwords, secure strings, and keys used by the Azure Stack Hub infrastructure, without intervention of the Azure Stack Hub Operator. Wewnętrzna rotacja tajna jest wymagana tylko w przypadku, gdy podejrzewasz, że został złamany, lub alert dotyczący wygaśnięcia.Internal secret rotation is only required if you suspect one has been compromised, or you've received an expiration alert.

Wdrożenia sprzed 1811 mogą wyświetlać alerty dotyczące oczekujących certyfikatów wewnętrznych lub wygaśnięć tajnych.Pre-1811 deployments may see alerts for pending internal certificate or secret expirations. Te alerty są niedokładne i powinny być ignorowane i są znane problemy rozwiązane w 1811.These alerts are inaccurate and should be ignored, and are a known issue resolved in 1811.

Aby obrócić wewnętrzne wpisy tajne, wykonaj następujące kroki:Complete the following steps to rotate internal secrets:

  1. Uruchom Poniższy skrypt programu PowerShell.Run the following PowerShell script. Uwaga dotycząca wewnętrznego obrotu tajnego, w sekcji "obrót klucza tajnego" jest wykorzystywany tylko -Internal parametr do polecenia cmdlet Start-SecretRotation:Notice for internal secret rotation, the "Run Secret Rotation" section uses only the -Internal parameter to the Start-SecretRotation cmdlet:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Uwaga

    Wersje sprzed 1811 nie wymagają -Internal flagi.Pre-1811 versions don't require the -Internal flag.

  2. Po pomyślnym zakończeniu konsoli zostanie wyświetlony ActionPlanInstanceID ... CurrentStatus: Completed komunikat, a następnie polecenie DONE .After successful completion, your console will display a ActionPlanInstanceID ... CurrentStatus: Completed message, followed by DONE.

    Uwaga

    Jeśli rotacja kluczy tajnych nie powiedzie się, postępuj zgodnie z instrukcjami w komunikacie o błędzie i ponownie uruchom Start-SecretRotation za pomocą -Internal -ReRun parametrów i.If secret rotation fails, follow the instructions in the error message and rerun Start-SecretRotation with the -Internal and -ReRun parameters.

    Start-SecretRotation -Internal -ReRun
    

    Skontaktuj się z pomocą techniczną, jeśli wystąpią błędy rotacji kluczy tajnych.Contact support if you experience repeated secret rotation failures.

Aktualizowanie poświadczenia BMCUpdate the BMC credential

Kontroler zarządzania płytą główną monitoruje stan fizyczny serwerów.The baseboard management controller monitors the physical state of your servers. Aby uzyskać instrukcje dotyczące aktualizowania nazwy konta użytkownika i hasła kontrolera BMC, zapoznaj się z producentem sprzętu OEM.Refer to your original equipment manufacturer (OEM) hardware vendor for instructions to update the user account name and password of the BMC.

Uwaga

Producent OEM może udostępnić dodatkowe aplikacje do zarządzania.Your OEM may provide additional management apps. Aktualizowanie nazwy użytkownika lub hasła dla innych aplikacji zarządzania nie ma wpływu na nazwę użytkownika lub hasło BMC.Updating the user name or password for other management apps has no effect on the BMC user name or password.

  1. Zaktualizuj kontroler BMC na serwerach fizycznych Azure Stack Hub, postępując zgodnie z instrukcjami producenta OEM.Update the BMC on the Azure Stack Hub physical servers by following your OEM instructions. Nazwa użytkownika i hasło dla każdego kontrolera BMC w środowisku muszą być takie same.The user name and password for each BMC in your environment must be the same. Nazwy użytkowników BMC nie mogą być dłuższe niż 16 znaków.The BMC user names can't exceed 16 characters.
  1. Nie jest już wymagane, aby najpierw zaktualizować poświadczenia kontrolera BMC na serwerach fizycznych Azure Stack Hub, postępując zgodnie z instrukcjami producenta OEM.It's no longer required that you first update the BMC credentials on the Azure Stack Hub physical servers by following your OEM instructions. Nazwa użytkownika i hasło dla każdego kontrolera BMC w środowisku muszą być takie same i nie mogą być dłuższe niż 16 znaków.The user name and password for each BMC in your environment must be the same, and can't exceed 16 characters.
  1. Otwórz uprzywilejowany punkt końcowy w sesji centrum Azure Stack.Open a privileged endpoint in Azure Stack Hub sessions. Aby uzyskać instrukcje, zobacz Używanie uprzywilejowanego punktu końcowego w Azure Stack Hub.For instructions, see Using the privileged endpoint in Azure Stack Hub.

  2. Po otwarciu uprzywilejowanej sesji punktu końcowego Uruchom jeden ze skryptów programu PowerShell poniżej, które używają Invoke-Command do uruchamiania polecenia Set-BmcCredential.After opening a privileged endpoint session, run one of the PowerShell scripts below, which use Invoke-Command to run Set-BmcCredential. Jeśli używasz opcjonalnego parametru-BypassBMCUpdate z poleceniem Set-BMCCredential, poświadczenia w BMC nie zostaną zaktualizowane.If you use the optional -BypassBMCUpdate parameter with Set-BMCCredential, credentials in the BMC aren't updated. Zaktualizowano tylko wewnętrzny magazyn danych centrum Azure Stack. Przekaż swoją dodaną wartość zmiennej sesji punktu końcowego jako parametr.Only the Azure Stack Hub internal datastore is updated.Pass your privileged endpoint session variable as a parameter.

    Oto przykładowy skrypt programu PowerShell, który wyświetli monit o podanie nazwy użytkownika i hasła:Here's an example PowerShell script that will prompt for user name and password:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    Możesz również zakodować nazwę użytkownika i hasło w zmiennych, co może być mniej bezpieczne:You can also encode the user name and password in variables, which may be less secure:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString "<Privileged Endpoint Password>" -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString "<New BMC Password>" -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Reference: Start-SecretRotation polecenie cmdletReference: Start-SecretRotation cmdlet

Polecenie cmdlet Start-SecretRotation powoduje obrócenie kluczy tajnych infrastruktury systemu Azure Stack Hub.Start-SecretRotation cmdlet rotates the infrastructure secrets of an Azure Stack Hub system. To polecenie cmdlet można wykonać tylko w odniesieniu do punktu końcowego z uprzywilejowanym centrum Azure Stack Hub, używając Invoke-Command bloku skryptu przekazującego sesję PEP w -Session parametrze.This cmdlet can only be executed against the Azure Stack Hub privileged endpoint, by using an Invoke-Command script block passing the PEP session in the -Session parameter. Domyślnie powoduje to obrócenie tylko certyfikatów wszystkich punktów końcowych infrastruktury sieci zewnętrznej.By default, it rotates only the certificates of all external network infrastructure endpoints.

ParametrParameter TypType WymaganeRequired PołożeniePosition DomyślnyDefault OpisDescription
PfxFilesPath CiągString FałszFalse NazywanyNamed BrakNone Ścieżka udziału plików do katalogu \Certificates zawierającego wszystkie certyfikaty punktu końcowego sieci zewnętrznej.The fileshare path to the \Certificates directory containing all external network endpoint certificates. Wymagane tylko w przypadku obracania zewnętrznych wpisów tajnych.Only required when rotating external secrets. Katalog końcowy musi być \Certificates.End directory must be \Certificates.
CertificatePassword SecureStringSecureString FałszFalse NazywanyNamed BrakNone Hasło dla wszystkich certyfikatów podanych w-PfXFilesPath.The password for all certificates provided in the -PfXFilesPath. Wymagana wartość, jeśli PfxFilesPath jest określony, gdy zewnętrzne wpisy tajne są obracane.Required value if PfxFilesPath is provided when external secrets are rotated.
Internal CiągString FałszFalse NazywanyNamed BrakNone Flaga wewnętrzna musi być używana kiedykolwiek, gdy operator Azure Stack Hub chce obrócić wewnętrzne klucze tajne infrastruktury.Internal flag must be used anytime an Azure Stack Hub operator wishes to rotate internal infrastructure secrets.
PathAccessCredential PSCredentialPSCredential FałszFalse NazywanyNamed BrakNone Poświadczenie programu PowerShell dla udziału plików w katalogu \Certificates zawierającego wszystkie certyfikaty punktu końcowego sieci zewnętrznej.The PowerShell credential for the fileshare of the \Certificates directory containing all external network endpoint certificates. Wymagane tylko w przypadku obracania zewnętrznych wpisów tajnych.Only required when rotating external secrets.
ReRun SwitchParameterSwitchParameter FałszFalse NazywanyNamed BrakNone Musi być używana w dowolnym momencie, gdy próba powiodła się.Must be used anytime secret rotation is reattempted after a failed attempt.

SkładniaSyntax

Dla zewnętrznego obrotu tajnegoFor external secret rotation

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Do wewnętrznego obrotu tajnegoFor internal secret rotation

Start-SecretRotation [-Internal]  

W przypadku ponownego uruchomienia obrotu zewnętrznego elementu tajnegoFor external secret rotation rerun

Start-SecretRotation [-ReRun]

W celu ponownego uruchomienia obrotu wewnętrznego wpisu tajnegoFor internal secret rotation rerun

Start-SecretRotation [-ReRun] [-Internal]

PrzykładyExamples

Obróć tylko wpisy tajne infrastruktury wewnętrznejRotate only internal infrastructure secrets

To polecenie musi zostać uruchomione za pośrednictwem uprzywilejowanego punktu końcowego środowiskacentrum Azure Stack.This command must be run via your Azure Stack Hub environment's privileged endpoint.

PS C:\> Start-SecretRotation -Internal

To polecenie powoduje obrócenie wszystkich wpisów tajnych infrastruktury uwidocznionych w sieci wewnętrznej centrum Azure Stack.This command rotates all of the infrastructure secrets exposed to the Azure Stack Hub internal network.

Obróć tylko wpisy tajne infrastruktury zewnętrznejRotate only external infrastructure secrets

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString "<CertPasswordHere>" -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {  
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

To polecenie powoduje obrócenie certyfikatów TLS używanych dla punktów końcowych infrastruktury sieci zewnętrznej centrum Azure Stack.This command rotates the TLS certificates used for Azure Stack Hub's external network infrastructure endpoints.

Obróć wewnętrzne i zewnętrzne tajemnice infrastruktury (tylko do 1811 )Rotate internal and external infrastructure secrets (pre-1811 only)

Ważne

To polecenie dotyczy tylko Azure Stack Hub przed1811 , ponieważ obrót został podzielony dla certyfikatów wewnętrznych i zewnętrznych.This command only applies to Azure Stack Hub pre-1811 as the rotation has been split for internal and external certificates.

Z 1811 + nie można już obrócić zarówno certyfikatów wewnętrznych, jak i zewnętrznych.From 1811+ you can't rotate both internal and external certificates anymore!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString "<CertPasswordHere>" -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

To polecenie powoduje obrócenie kluczy tajnych infrastruktury uwidocznionych w sieci wewnętrznej Azure Stack Hub oraz certyfikatów TLS używanych dla punktów końcowych infrastruktury sieci Azure Stack centrum.This command rotates the infrastructure secrets exposed to Azure Stack Hub internal network, and the TLS certificates used for Azure Stack Hub's external network infrastructure endpoints. Start-SecretRotation obraca wszystkie klucze tajne generowane przez stos, a ponieważ podano certyfikaty, zostaną również obrócone certyfikaty zewnętrznych punktów końcowych.Start-SecretRotation rotates all stack-generated secrets, and because there are provided certificates, external endpoint certificates will also be rotated.

Następne krokiNext steps

Dowiedz się więcej o zabezpieczeniach centrum Azure StackLearn more about Azure Stack Hub security