Skip to main content
Microsoft Azure Pack içinde şifrelenmiş verileri yönetme
 

Uygulama Alanı: Windows Azure Pack

Windows Server için Windows Azure Pack yönetim portalındaki veritabanları ve kullanıcılar arasındaki iletişimin güvenliğini sağlamak üzere şifreleme algoritmaları, şifreleme anahtarları ve parolalar kullanır. Bu veriler iki veya üç konumda depolanır.

Verilerinizin güvenliğini korumak için, verileri düzenli olarak değiştirmeniz veya döndürmeniz gerekir. Bir konumda verileri değiştirdiğinizde, tüm konumlarda değiştirmeniz gerekir.

Tüm şifreleme algoritmalarını, anahtarları ve parolaları ve saklandığı konumları listeleyen bir elektronik tablo sunuyoruz. Bu elektronik tabloda her bir veri noktasının nasıl değiştirileceği hakkında bilgiler de bulunur. Elektronik tabloya Microsoft İndirme Merkezi'nde bulunabilecek Microsoft Azure Pack teknik belgeler paketinden (http://go.microsoft.com/fwlink/?LinkId=329811) erişebilirsiniz. İndir'e tıklayın, WAPv1_encryption.xsl dosyasını seçin ve ardından İleri'ye tıklayarak dosyayı indirmeye başlayın.

Verilerinizin güvenliğini doğrulamak üzere Windows Azure Pack için En İyi Yöntem Çözümleyicisi'ni de kullanabilirsiniz. En İyi Yöntem Çözümleyicisi hakkında bilgi için bkz. Microsoft Azure Pack bileşenlerini tarama.

Şifrelenmiş verilerinizi yönetmek için aşağıdaki bilgileri kullanın:

  • Veritabanı parolasını değiştirme

  • Makine anahtarıyla ilgili şifrelenmiş verileri döndürme

  • Şifreleme algoritmalarını ve anahtarları döndürme

  • Kullanım Yönetici API'si parolasını değiştirme

  • Kaynak sağlayıcılarıyla ilgili parolaları değiştirme

  • Hizmet Raporlama ile ilgili parolayı değiştirme

Windows Azure Pack içinde, her biri bir veritabanı parolasına sahip olan birkaç veritabanı bulunur. Veritabanı parolalarını döndürmek için aşağıdaki adımları kullanın:

Veritabanı parolasını döndürmek için

  1. Yeni bir parola edinin. Aşağıdaki cmdlet'i çalıştırın:

    $password = New-MgmtSvcPassword –Length 64
  2. Birinci konumdaki veritabanı parolasını bulup döndürmek için elektronik tablodaki verileri kullanın. Örneğin, Yönetici API'si için veritabanı parolasını döndürüyorsanız, ilk konum Gizli yapılandırma deposudur (Konum 1 için sütun C'yi denetleyin).

    Parolayı değiştirmek için aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service>  <Secret>  $password -Server <Server> -Passphrase <Passphrase> -Database “Microsoft.MgmtSvc.Config” -Force
  3. Ardından, veritabanı parolasının üçüncü konumunu bulun ve veritabanı parolasını döndürün. Yukarıdaki örneği kullanarak, Yönetici API'si veritabanı parolası için bu, SQL Server güvenlik oturum açma bilgisidir (Konum 3 için sütun G'yi denetleyin).

    Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseUser -Server <Server> -Database <Database> -Schema <Schema> -User <User> -UserPassword $password
  4. Son olarak, veritabanı parolasının ikinci konumunu bulun ve parolayı döndürün. Yine Yönetici API'si veritabanı parolası için bu, web.config bağlantı dizesidir (Konum 2 için sütun E'yi denetleyin).

    Aşağıdaki cmdlet'leri çalıştırın:

    $setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase>
    $connectionString = Get-MgmtSvcSetting $namespace <ConnectionString>
    $builder = New-Object System.Data.SqlClient.SqlConnectionStringBuilder($connectionString.Value)
    $builder.Password = $setting.Value
    Set-MgmtSvcSetting <Service> <ConnectionString> $builder.ConnectionString
    

Yönetici API'si, yöneticiler için yönetim portalı (AdminSite), kimlik doğrulama sitesi (AuthSite), kiracılar için yönetim portalı (TenantSite) ve Windows kimlik doğrulama sitesi (WindowsAuthSite) için şifre çözme ve doğrulama ayarları ve anahtarları, makine anahtarı kullanılarak depolanır. Bu verileri döndürmek için aşağıdaki adımları kullanın.

Makine anahtarıyla ilgili şifrelenmiş verileri döndürmek için

  1. Yeni bir makine anahtarı edinin. Aşağıdaki örnekte Yönetici API'si hizmeti machineKey.decrytpion için yeni bir makine anahtarı alınmaktadır. Makine anahtarının diğer değerlerini değiştirmek için aşağıdaki adımları kullanabilirsiniz.

    Yeni bir makine anahtarı almak için aşağıdaki cmdlet'leri çalıştırın:

    $machineKey = New-MgmtSvcMachineKey
    $decryption = $machineKey.Attribute('decryption').Value
    
  2. machineKey.decryption için birinci konumu bulmak üzere elektronik tablodaki verileri kullanın. Yönetici API'si hizmeti için bu, Gizli Yapılandırma Deposudur.

    Aşağıdaki cmdlet'i çalıştırarak machineKey.decryption ayarını değiştirin:

    Set-MgmtSvcDatabaseSetting <Service> "machineKey.decryption" $decryption -Server <Server> -Passphrase <Passphrase> -Force
  3. machineKey.decryption için ikinci konumu bulun. Yönetici API'si hizmeti için bu, web.config machineKey bölümüdür.

    Aşağıdaki cmdlet'leri çalıştırarak machineKey.decryption ayarını değiştirin:

    $decryption = Get-MgmtSvcDatabaseSetting <Service> “machineKey.decryption” –Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> "machineKey.decryption" $decryption.Value
    

Şifreleme algoritmalarını ve şifreleme anahtarlarını döndürmek için aşağıdaki adımları kullanın.

Şifreleme algoritmalarını ve şifreleme anahtarlarını döndürmek için

  1. Yeni bir makine anahtarı edinin. Aşağıdaki örnekte Bildirim şifreleme algoritması için yeni bir makine anahtarı ve Yönetici sitesi anahtarı alınmaktadır. Diğer şifreleme algoritmalarını ve anahtarlarını değiştirmek için aşağıdaki adımları kullanabilirsiniz.

    System_CAPS_noteNot

    Hem şifreleme hem de şifre çözme için aynı anahtarlar kullanılır. Bu nedenle bunlar yapılan işleme bağlı olarak hem şifreleme hem de şifre çözme anahtarları olarak değerlendirilebilir. Bu sebeple, döndürmekte olduğunuz değerin şifrelemeanahtarı olmasına rağmen aşağıdaki şifre çözme değeri kullanılır.

    Yeni bir makine anahtarı almak için aşağıdaki cmdlet'leri çalıştırın:

    $machineKey = New-MgmtSvcMachineKey
    $encryption = $machineKey.Attribute('decryption').Value
    $encryptionKey = $machineKey.Attribute('decryptionKey').Value
    
  2. Şifreleme algoritması veya anahtarı için birinci konumu bulmak üzere elektronik tablodaki verileri kullanın. Yönetici sitesindeki Bildirim şifreleme algoritması ve anahtar için bu, Gizli Yapılandırma Deposudur.

    Şifreleme algoritmasını ve anahtarı değiştirmek için aşağıdaki cmdlet'leri çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service> "NotificationEncryptionAlgorithm " $encryption -Server <Server> -Passphrase <Passphrase> -Force
    Set-MgmtSvcDatabaseSetting <Service> "EncryptionKey " $encryptionKey -Server <Server> -Passphrase <Passphrase> -Force
    
  3. Şifreleme algoritması veya anahtarı için ikinci konumu bulun. Yönetici sitesindeki Bildirim şifreleme algoritması ve anahtarı için bu, web.config uygulama ayarları bölümüdür.

    Şifreleme algoritmasını ve anahtarı değiştirmek için aşağıdaki cmdlet'leri çalıştırın:

    $encryption = Get-MgmtSvcDatabaseSetting <Service> “NotificationEncryptionAlgorithm” –Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> "NotificationEncryptionAlgorithm" $encryption.Value
    $encryptionKey = Get-MgmtSvcDatabaseSetting <Service> “EncryptionKey” –Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> "EncryptionKey" $encryptionKey.Value
    

Kaynak yöneticileri tarafından kullanılan parolaların (sonraki bölümde açıklanmıştır) aksine Kullanım Yönetici API'si parolası, Gizli Yapılandırma deposunda ve web.config uygulama ayarları bölümüne depolanır. Kullanım Yönetici API'si parolasını değiştirmek için aşağıdaki adımları kullanın.

Kullanım Yönetici API'si parolasını döndürmek için

  1. Yeni bir parola edinin. Aşağıdaki cmdlet'i çalıştırın:

    $password = New-MgmtSvcPassword
  2. İlk konum olan Gizli Yapılandırma deposundaki parolayı değiştirin. Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service>  <Secret>  $password -Server <Server> -Passphrase <Passphrase> -Force
  3. İkinci konum olan web.config uygulama ayarları bölümündeki parolayı değiştirin. Aşağıdaki cmdlet'leri çalıştırın:

    $setting = Get-MgmtSvcDatabaseSetting <Service> <Secret> -Server <Server> -Passphrase <Passphrase>
    Set-MgmtSvcSetting <Service> <Secret> $setting.Value

İzleme, MySQL, SQL Server ve Kullanım kaynak sağlayıcılarının parolalarını döndürmek için aşağıdaki bilgileri kullanın.

Kaynak sağlayıcısı parolalarını döndürmek için

  1. Kaynak sağlayıcısı için yeni bir parola edinin. Aşağıdaki cmdlet'i çalıştırın:

    $password = New-MgmtSvcPassword
  2. İlk konumdaki parolayı değiştirin. Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcDatabaseSetting <Service> “Password” $pw -Server <Server> -Passphrase <Passphrase> -Force
  3. Üçüncü konumdaki parolayı değiştirin.

    System_CAPS_noteNot

    İzleme hizmeti için parola "MonitoringRestBasicAuthKnownPassword" olarak adlandırılır. Diğer kaynak sağlayıcıları için parola "Password" olarak adlandırılır.

    Aşağıdaki cmdlet'i çalıştırın:

    Set-MgmtSvcSetting <Service>  “Password” $pw -Encode
  4. İkinci konumdaki parolayı değiştirin.

    System_CAPS_noteNot

    Aşağıdaki cmdlet'ler dört uç noktanın tamamı için parolayı değiştirir, ancak tüm kaynak sağlayıcıları bu uç noktaların tümüne sahip değildir. Her kaynak sağlayıcısının uç noktalarını tanımlamak için $rp sonuçlarına bakın ve ardından AuthenticationPassword değerlerini uygun şekilde ayarlayın.

    Aşağıdaki cmdlet'leri çalıştırın:

    $rp = Get-MgmtSvcResourceProviderConfiguration <Resource Provider Name> -DecryptPassword
    $rp.AdminEndpoint.AuthenticationPassword = $pw
    $rp.TenantEndpoint.AuthenticationPassword = $pw
    $rp.UsageEndpoint.AuthenticationPassword = $pw
    $rp.NotificationEndpoint.AuthenticationPassword = $pw
    Add-MgmtSvcResourceProviderConfiguration $rp -Force

Windows Azure Pack ile Hizmet Raporlama kullanıyorsanız, Kullanım hizmeti parolasını değiştirdiğinizde Hizmet Raporlama için SQL VM'lerindeki parolayı güncelleştirmeniz gerekir.

Parolayı sıfırlamak için aşağıdaki adımları kullanın.

Hizmet Raporlama SQL VM parolalarını değiştirmek için

  1. Hizmet Raporlamayı destekleyen SQL veritabanını yüklediğiniz VM'de Hizmet Raporlama SQL aracısı işinin çalışmadığından emin olun. İşin durumunu görüntülemek için aşağıdaki adımları kullanın:

    1. <prefix>-DW-SQL\CPSDW veritabanı örneğine bağlanın.

    2. Nesne Gezgini'nde SQL Server Aracısı öğesini genişletin.

    3. İşler'e tıklayın.

    4. Görünüm sekmesinde Nesne Gezgini Ayrıntıları'na tıklayın.

      Aracı işinin çalışıp çalışmadığını görmek için Durum sütununu denetleyin.

  2. Hizmet Raporlama, parolayı değiştirmek için çalıştırabileceğiniz bir betik içerir. Bu betiği çalıştırmak için PowerShell komut isteminden aşağıdaki cmdlet'i çalıştırın.

    \\<Service reporting host>\ServiceReporting\Maintenance\PostDeploymentConfig.ps1 -User UsageClient –Password $newPassword