Узнайте о том, как менять секреты в Azure Stack Hub

Статья
05/28/2022
Чтение занимает 12 мин

В этой статье содержатся рекомендации по выполнению смены секретов для обеспечения безопасного взаимодействия с ресурсами и службами инфраструктуры Azure Stack Hub.

Обзор

Azure Stack Hub использует секреты для обеспечения безопасного взаимодействия с ресурсами и службами инфраструктуры. Чтобы поддерживать целостность инфраструктуры Azure Stack Hub, операторам нужна возможность смены секретов с частотой, согласованной с требованиями к безопасности организации.

При приближении срока действия секретов на портале администрирования создаются следующие оповещения. Смена секретов позволит устранить условия, активирующие следующие оповещения:

ожидается истечение срока действия пароля учетной записи службы;
ожидается истечение срока действия внутреннего сертификата;
ожидается истечение срока действия внешнего сертификата.

Предупреждение

На портале администрирования до истечения срока действия активируются два этапа оповещений:

90 дней до истечения срока действия создается предупреждение.
Через 30 дней до истечения срока действия создается критическое оповещение.

Очень важно завершить смену секретов, если вы получите эти уведомления. Сбой этого может привести к потере рабочих нагрузок и возможному повторному развертыванию Azure Stack Hub за счет собственных расходов!

Дополнительные сведения о мониторинге и исправлении оповещений см. в статье "Мониторинг работоспособности и оповещений" в Azure Stack Hub.

Примечание

В средах Azure Stack Hub до версии 1811 могут возникать предупреждения об ожидающих обработки внутренних сертификатах или об окончании срока действия секретов. Эти предупреждения являются неточными. Их следует игнорировать без выполнения смены внутренних секретов. Неточные оповещения об истечении срока действия внутренних секретов — это известная проблема, которая устранена в версии 1811. Срок действия внутренних секретов не истекает, если среда была активна в течение двух лет.

Предварительные требования

Настоятельно рекомендуется использовать поддерживаемую версию Azure Stack Hub и обязательно применить последнее доступное исправление для версии Azure Stack Hub, которая запущена. Например, если вы используете версию 2008, убедитесь, что вы установили последнее исправление, доступное для 2008 года.
Важно!

Для версий до 1811:
- Если смена секретов уже выполнена, перед повторной сменой секретов необходимо обновить до версии 1811 или более поздней. Смена секретов выполняется через привилегированную конечную точку, и для нее нужны учетные данные оператора Azure Stack Hub. Если вы не знаете, была ли в вашей среде выполнена смена секретов, обновите его до версии 1811, прежде чем выполнять смену секретов.
- Вам не нужно сменять секреты для добавления сертификатов узла расширения. См. руководство по подготовке хост-процесса для расширений для Azure Stack Hub и добавлению сертификатов.
Уведомите пользователей о запланированных операциях обслуживания. Запланируйте обычные периоды обслуживания, как можно больше в нерабочие часы. Операции технического обслуживания могут влиять на рабочие нагрузки пользователей и на операции портала.
Во время смены секретов операторы могут заметить, что оповещения открываются и автоматически закрываются. Такое поведение считается нормальным и предупреждения можно игнорировать. Операторы могут проверить допустимость этих оповещений с помощью командлета Test-AzureStack PowerShell. Для операторов, использующих System Center Operations Manager для мониторинга систем Azure Stack Hub, размещение системы в режиме обслуживания не позволит этим оповещениям достичь своих систем ITSM, но будет продолжать оповещать, если система Azure Stack Hub станет недоступной.

Смена внешних секретов

Важно!

Смена внешнего секрета для:

Секреты без сертификатов, такие как безопасные ключи и строки , должны выполняться администратором вручную. Сюда входят пароли учетных записей пользователей и администраторов, а также пароли сетевых коммутаторов.
Секреты поставщика ресурсов (RP) для добавления стоимости рассматриваются в отдельных руководствах:
Учетные данные базового Management-контроллер (BMC) также являются ручным процессом, описанным далее в этой статье.

В этом разделе рассматривается смена сертификатов, используемых для защиты внешних служб. Эти сертификаты предоставляются оператором Azure Stack Hub для следующих служб:

портал администрирования;
общедоступный портал;
Azure Resource Manager для администратора;
глобальный Azure Resource Manager;
Key Vault администратора;
Key Vault
Хост-процесс для расширений администратора
ACS (включая хранилище BLOB-объектов, таблиц и очередей);
ADFS^*
График^*

^*Применимо при использовании федеративных служб Active Directory (AD FS).

Подготовка

Перед сменой внешних секретов:

Test-AzureStack Запустите командлет PowerShell с помощью -group SecretRotationReadiness параметра, чтобы убедиться, что все выходные данные теста работоспособны перед сменой секретов.

Подготовьте новый набор внешних сертификатов для замены:

Новый набор должен соответствовать спецификациям сертификатов, описанным в требованиях к PKI-сертификатам Azure Stack Hub.

Создайте запрос подписи сертификата (CSR) для отправки в центр сертификации (ЦС). Выполните действия, описанные в статье "Создание запросов на подписывание сертификатов" и подготовьте их к использованию в среде Azure Stack Hub, выполнив действия, описанные в разделе "Подготовка PKI-сертификатов". Azure Stack Hub поддерживает смену секретов для внешних сертификатов из нового центра сертификации (ЦС) в следующих контекстах:

Поворот из ЦС	Поворот в ЦС	Поддержка версий Azure Stack Hub
Self-Signed	Предприятие	1903 & позже
Self-Signed	Self-Signed	Не поддерживается
Self-Signed	Общедоступные^*	1803 & позже
Enterprise	Enterprise	1803 & позже; 1803-1903, если тот же корпоративный ЦС используется при развертывании
Предприятие	Self-Signed	Не поддерживается
Предприятие	Общедоступные^*	1803 & позже
Общедоступные^*	Предприятие	1903 & позже
Общедоступные^*	Self-Signed	Не поддерживается
Общедоступные^*	Общедоступные^*	1803 & позже

^*Часть Windows доверенной корневой программы.

Обязательно проверьте сертификаты, которые вы готовите, выполнив действия, описанные в разделе "Проверка сертификатов PKI".
Убедитесь, что в пароле отсутствуют специальные символы, например $, ,*#,,@,or)".
Убедитесь, что для PFX-файлов используется шифрование TripleDES-SHA1. Если у вас возникнут проблемы, см. руководство по устранению распространенных неполадок с сертификатами PKI в Azure Stack Hub.

Сохраните резервную копию в сертификаты, используемые для смены, в защищенном расположении резервной копии. Если смена выполняется, а затем завершается сбоем, замените сертификаты в общей папке резервными копиями перед повторным запуском смены. Резервные копии необходимо сохранить в безопасном расположении.
Создайте общую папку, к которой можно получить доступ из виртуальных машин ERCS. Общая папка должна быть доступной для чтения и записи для удостоверения CloudAdmin .
Откройте консоль интегрированной среды сценариев PowerShell на компьютере с доступом к общей папке. Перейдите к общей папке, в которой вы создаете каталоги для размещения внешних сертификатов.
Скачайте CertDirectoryMaker.ps1 в общую сетевую папку и запустите скрипт. Скрипт создаст структуру папок, которая соответствует .\Certificates\AAD или .\Certificates\ADFS в зависимости от поставщика удостоверений. Структура папок в сетевой общей папке должна начинаться с папки \Certificates , за которой следует только папка \AAD или \ADFS . Все остальные подкаталоги содержатся в предыдущей структуре. Пример.
- Fileshare = \\<IPAddress>\<ShareName>
- Корневая папка сертификатов в общей папке = \\<IPAddress>\<ShareName>\Certificates
- Полный путь к папке сертификатов для поставщика Azure AD = \\<IPAddress>\<ShareName>\Certificates\AAD
- Полный путь к папке сертификатов для поставщика ADFS = \\<IPAddress>\<ShareName>\Certificates\ADFS
Важно!

При последующем запуске Start-SecretRotation путь к корневой папке сертификатов передается. Командлет проверит структуру папок и выдает следующую ошибку, если она не соответствует требованиям:
```
Cannot bind argument to parameter 'Path' because it is null.
+ CategoryInfo          : InvalidData: (:) [Test-Certificate], ParameterBindingValidationException
+ FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Test-Certificate
+ PSComputerName        : xxx.xxx.xxx.xxx
```

Скопируйте новый набор внешних сертификатов, созданных на шаге 2, в папку \Certificates\<IdentityProvider> , созданную на шаге 6. Обязательно следуйте формату cert.<regionName>.<externalFQDN><CertName>.

Ниже приведен пример структуры папок для поставщика удостоверений Azure AD:

    <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

Поворот

Выполните следующие действия, чтобы сменить внешние секреты:

Используйте следующий скрипт PowerShell для смены секретов. Скрипту требуется доступ к сеансу привилегированной конечной точки (PEP). Доступ к PEP осуществляется через удаленный сеанс PowerShell на виртуальной машине, где размещается PEP. Если вы используете интегрированную систему, существует три экземпляра PEP, каждый из которых выполняется внутри виртуальной машины (Prefix-ERCS01, Prefix-ERCS02 или Prefix-ERCS03) на разных узлах. Скрипт выполняет следующие задачи.

Создает сеанс PowerShell с привилегированной конечной точкой с помощью учетной записи CloudAdmin и сохраняет сеанс в виде переменной. Эта переменная используется в качестве параметра на следующем шаге.
Запускает invoke-Command, передав переменную сеанса PEP в -Session качестве параметра.

Выполняется Start-SecretRotation в сеансе PEP, используя следующие параметры. Дополнительные сведения см. в справочнике по Start-SecretRotation :

Параметр	Переменная	Описание
`-PfxFilesPath`	$CertSharePath	Сетевой путь к корневой папке сертификатов, как описано в шаге 6 раздела "Подготовка", например `\\<IPAddress>\<ShareName>\Certificates`.
`-PathAccessCredential`	$CertShareCreds	Объект PSCredential для учетных данных для общей папки.
`-CertificatePassword`	$CertPassword	Защищенная строка пароля, используемая для всех созданных файлов сертификатов PFX.

# Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Смена внешних секретов занимает около часа. После успешного завершения консоль отобразит ActionPlanInstanceID ... CurrentStatus: Completed сообщение, за которым следует Action plan finished with status: 'Completed'. Удалите сертификаты из общей папки, созданной при работе с разделом подготовки, и храните их в безопасном расположении резервного копирования.
Примечание

Если смена секретов завершается сбоем, следуйте инструкциям в сообщении об ошибке и повторно запустите Start-SecretRotation с параметром -ReRun .
```
Start-SecretRotation -ReRun
```
Обратитесь в службу поддержки, если при смене секретов постоянно возникают сбои.
При необходимости, чтобы убедиться, что все внешние сертификаты были изменены, запустите средство проверки Test-AzureStack с помощью следующего скрипта:
```
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
```

Смена внутренних секретов

Перечень внутренних секретов включает сертификаты, пароли, защищенные строки и ключи, используемые инфраструктурой Azure Stack Hub без вмешательства оператора Azure Stack Hub. Внутренняя ротация секретов требуется только в том случае, если вы подозреваете, что один из них был взломан, или если вы получили предупреждение об истечении срока действия.

В развертываниях до 1811 могут отображаться оповещения о ожидании истечения срока действия внутреннего сертификата или секрета. Эти оповещения являются неточными и должны игнорироваться, и это известная проблема, устраненная в 1811 году.

Выполните следующие действия, чтобы сменить внутренние секреты:

Запустите следующий сценарий PowerShell. Обратите внимание на смену внутреннего секрета, раздел "Выполнить смену секретов" использует только -Internal параметр для командлета Start-SecretRotation:

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

Примечание

Для версий до 1811 флаг не требуется -Internal .

После успешного завершения консоль отобразит ActionPlanInstanceID ... CurrentStatus: Completed сообщение, за которым следует Action plan finished with status: 'Completed'.
Примечание

Если ротация секретов не удалась, следуйте инструкциям в сообщении об ошибке и повторно запустите Start-SecretRotation с параметрами -Internal и -ReRun.
```
Start-SecretRotation -Internal -ReRun
```
Обратитесь в службу поддержки, если при смене секретов постоянно возникают сбои.

Обновите учетные данные BMC

Базовая Management-контроллер отслеживает физическое состояние серверов. Обратитесь к поставщику оборудования OEM, чтобы получить инструкции по обновлению пароля и имени учетной записи пользователя для BMC.

Примечание

Поставщик OEM может предоставлять дополнительные приложения для управления. Обновление имени пользователя или пароля для других приложений управления не влияет на имя пользователя или пароль BMC.

Обновите контроллер управления основной платой на физических серверах Azure Stack Hub в соответствии с инструкциями поставщика. Пароли и имена пользователя для всех контроллеров BMC в среде должны совпадать. Имена пользователей BMC должны содержать не более 16 знаков.

Вам больше не нужно обновлять учетные данные контроллера управления основной платой на физических серверах Azure Stack Hub в соответствии с инструкциями поставщиков OEM. Имя пользователя и пароль для каждого BMC в вашей среде должны быть одинаковыми и не могут превышать 16 символов.

Откройте привилегированную конечную точку в сеансах Azure Stack Hub. См. инструкции по использованию привилегированной конечной точки в Azure Stack Hub.

После открытия сеанса привилегированной конечной точки выполните один из приведенных ниже скриптов PowerShell, которые используют Invoke-Command для запуска Set-BmcCredential. Если вы используете необязательный параметр -BypassBMCUpdate с Set-BMCCredential, учетные данные в BMC не обновляются. Обновляется только внутреннее хранилище данных Azure Stack Hub. Передайте переменную сеанса привилегированной конечной точки в качестве параметра.

Ниже приведен пример скрипта PowerShell, который запрашивает имя пользователя и пароль:

# Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Вы также можете закодировать имя пользователя и пароль в переменных, которые могут быть менее безопасными:

# Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Справочник: командлет Start-SecretRotation

Командлет Start-SecretRotation поворачивает секреты инфраструктуры системы Azure Stack Hub. Этот командлет можно выполнить только для привилегированной конечной точки Azure Stack Hub, используя Invoke-Command блок скрипта, передав сеанс PEP в параметре -Session . По умолчанию он сменяет только сертификаты всех конечных точек инфраструктуры внешней сети.

Параметр	Тип	Обязательно	Положение	По умолчанию	Описание
`PfxFilesPath`	Строка	False	именованная	None	Путь к общей папке \Certificates , содержащей все сертификаты конечных точек внешней сети. Требуется только при смене внешних секретов. Путь должен заканчиваться папкой \Certificates , например \\<IPAddress>\<ShareName>\Certificates.
`CertificatePassword`	SecureString	False	именованная	None	Пароль для всех сертификатов, предоставляемых в -PfXFilesPath. Необходимое значение, если PfxFilesPath предоставлен, когда сменяются внешние секреты.
`Internal`	Строка	False	именованная	None	Флаг -Internal должен использоваться каждый раз, когда оператор Azure Stack Hub хочет сменить внутренние секреты инфраструктуры.
`PathAccessCredential`	PSCredential	False	именованная	None	Учетные данные PowerShell для общего ресурса каталога \Certificates, который содержит все сертификаты конечных точек внешней сети. Требуется только при смене внешних секретов.
`ReRun`	SwitchParameter	False	именованная	None	Необходимо использовать любой раз, когда смена секретов повторно пренебрежена после неудачной попытки.

Синтаксис

Для смены внешних секретов

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Для смены внутренних секретов

Start-SecretRotation [-Internal]

Для повторной смены внешних секретов

Start-SecretRotation [-ReRun]

Для повторной смены внутренних секретов

Start-SecretRotation [-ReRun] [-Internal]

Примеры

Смена только секретов внутренней инфраструктуры

Эту команду необходимо выполнять с использованием привилегированной конечной точки среды Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Эта команда меняет все инфраструктурные секреты, предоставляемые для внутренней сети Azure Stack Hub.

Смена только секретов внешней инфраструктуры

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Эта команда сменяет сертификаты TSL, используемые для конечных точек инфраструктуры внешней сети Azure Stack Hub.

Смена секретов внешней и внутренней инфраструктуры (только до версии 1811).

Важно!

Эта команда применяется только к Azure Stack до версии 1811, так как в ней смена для внутренних и внешних сертификатов выполняется раздельно.

Начиная с версии 1811+ вы больше не сможете сменять внутренние и внешние сертификаты.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Эта команда сменяет секреты инфраструктуры, предоставляемые внутренней сети Azure Stack Hub, и сертификаты TLS, используемые для конечных точек внешней сетевой инфраструктуры Azure Stack Hub. Командлет Start-SecretRotation сменяет все созданные стеком секреты и, так как сертификаты предоставлены, сертификаты внешних конечных точек.

Дальнейшие действия

Дополнительные сведения о системе безопасности Azure Stack Hub