Sdílet prostřednictvím

Obměna tajných klíčů ve službě Azure Stack Hub

  • Článek

Tento článek obsahuje pokyny k provádění obměny tajných kódů, které pomáhají udržovat zabezpečenou komunikaci s prostředky a službami infrastruktury služby Azure Stack Hub.

Přehled

Azure Stack Hub používá tajné kódy k zajištění zabezpečené komunikace s prostředky a službami infrastruktury. Aby se zachovala integrita infrastruktury služby Azure Stack Hub, potřebují operátoři možnost obměňovat tajné kódy s četností, které jsou v souladu s požadavky organizace na zabezpečení.

Když se blíží vypršení platnosti tajných kódů, na portálu pro správu se vygenerují následující výstrahy. Dokončení obměně tajných kódů vyřeší tato upozornění:

  • Čekání na vypršení platnosti hesla účtu služby
  • Blížící se vypršení platnosti interního certifikátu
  • Blížící se vypršení platnosti externího certifikátu

Upozorňující

Před vypršením platnosti se na portálu pro správu aktivují 2 fáze upozornění:

  • 90 dní před vypršením platnosti se vygeneruje upozornění upozornění.
  • 30 dní před vypršením platnosti se vygeneruje kritická výstraha.

Je důležité, abyste dokončili obměnu tajných kódů, pokud obdržíte tato oznámení. Pokud to neuděláte, může dojít ke ztrátě úloh a možnému opětovnému nasazení služby Azure Stack Hub na vlastní náklady!

Další informace o monitorování a nápravě výstrah najdete v tématu Monitorování stavu a upozornění ve službě Azure Stack Hub.

Poznámka:

Prostředí služby Azure Stack Hub ve verzích před 1811 můžou zobrazovat upozornění na nevyřízené interní certifikáty nebo vypršení platnosti tajných kódů. Tyto výstrahy jsou nepřesné a měly by být ignorovány bez spuštění interní obměně tajných kódů. Nepřesná upozornění na vypršení platnosti interního tajného kódu jsou známým problémem, který je vyřešený v roce 1811. Platnost interních tajných kódů nevyprší, pokud není prostředí aktivní po dobu dvou let.

Požadavky

  1. Důrazně doporučujeme, abyste spustili podporovanou verzi služby Azure Stack Hub a použili jste nejnovější dostupnou opravu hotfix pro verzi služby Azure Stack Hub, na které je vaše instance spuštěná. Pokud například používáte verzi 2008, ujistěte se, že máte nainstalovanou nejnovější opravu hotfix dostupnou pro verzi 2008.

    Důležité

    Pro předběžné verze 1811:

    • Pokud už došlo k obměně tajných kódů, musíte před opětovnou obměnou tajnými kódy aktualizovat na verzi 1811 nebo novější. Rotace tajných kódů se musí spouštět prostřednictvím privilegovaného koncového bodu a vyžaduje přihlašovací údaje operátora služby Azure Stack Hub. Pokud nevíte, jestli se ve vašem prostředí spustila rotace tajných kódů, aktualizujte na verzi 1811 před provedením obměna tajných kódů.
    • Abyste mohli přidávat certifikáty hostitele rozšíření, nemusíte obměňovat tajné kódy. Pokud chcete přidat certifikáty hostitele rozšíření, postupujte podle pokynů v článku Příprava hostitele rozšíření pro službu Azure Stack Hub .

  2. Upozorněte uživatele na operace plánované údržby. Naplánujte normální časová období údržby, co nejvíce během pracovní doby. Operace údržby můžou mít vliv na úlohy uživatelů i operace portálu.

  3. Vygenerujte žádosti o podepisování certifikátů pro Azure Stack Hub.

  4. Příprava certifikátů PKI služby Azure Stack Hub

  5. Během obměně tajných kódů si můžou operátoři všimnout otevření a automatického zavření výstrah. Jedná se o očekávané chování a tato upozornění můžete ignorovat. Operátoři můžou ověřit platnost těchto upozornění pomocí rutiny Prostředí PowerShell Test-AzureStack. U operátorů, kteří k monitorování systémů Azure Stack Hub používají System Center Operations Manager, zabrání umístění systému do režimu údržby těmto výstrahám v dosažení systémů ITSM. Výstrahy ale budou i nadále přicházet, pokud systém Azure Stack Hub přestane být dostupný.

Obměna externích tajných kódů

Důležité

Obměně externích tajných kódů pro:

Tato část se věnuje obměně certifikátů používaných k zabezpečení externích služeb. Tyto certifikáty poskytuje operátor služby Azure Stack Hub pro následující služby:

  • Portál správce
  • Veřejný portál
  • Správce Azure Resource Manageru
  • Globální Azure Resource Manager
  • Key Vault správce
  • Key Vault
  • Hostitel rozšíření správce
  • ACS (včetně úložiště objektů blob, tabulek a front)
  • ADFS1
  • Graf1
  • Container Registry2

1Platí pro použití služby Active Directory Federated Services (ADFS).

2Platí pro použití služby Azure Container Registry (ACR).

Příprava

Před obměnou externích tajných kódů:

  1. Před obměnou tajnými kódy spusťte rutinu Test-AzureStack PowerShellu pomocí parametru -group SecretRotationReadiness a ověřte, že všechny výstupy testů jsou v pořádku.

  2. Příprava nové sady náhradních externích certifikátů:

    • Nová sada musí odpovídat specifikacím certifikátů uvedeným v požadavcích na certifikát PKI služby Azure Stack Hub.

    • Vygenerujte žádost o podepsání certifikátu (CSR) k odeslání vaší certifikační autoritě (CA). Použijte kroky popsané v tématu Generování žádostí o podepsání certifikátu a jejich přípravu na použití v prostředí služby Azure Stack Hub pomocí kroků v části Příprava certifikátů PKI. Azure Stack Hub podporuje obměnu tajných kódů pro externí certifikáty od nové certifikační autority (CA) v následujících kontextech:

      Otočení z certifikační autority Otočení do certifikační autority Podpora verzí služby Azure Stack Hub
      Podepsaný svým držitelem Enterprise 1903 a novější
      Podepsaný svým držitelem Podepsaný svým držitelem Nepodporuje se
      Podepsaný svým držitelem Veřejný* 1803 a novější
      Enterprise Enterprise 1803 a novější; 1803–1903, pokud stejná podniková certifikační autorita jako při nasazení
      Enterprise Podepsaný svým držitelem Nepodporuje se
      Enterprise Veřejný* 1803 a novější
      Veřejný* Enterprise 1903 a novější
      Veřejný* Podepsaný svým držitelem Nepodporuje se
      Veřejný* Veřejný* 1803 a novější

      *Součást důvěryhodného kořenového programu systému Windows.

    • Nezapomeňte ověřit certifikáty, které připravíte, pomocí kroků uvedených v části Ověření certifikátů PKI.

    • Ujistěte se, že heslo neobsahuje žádné speciální znaky, například $,*,#,@),or).

    • Ujistěte se, že šifrování PFX je TripleDES-SHA1. Pokud narazíte na problém, přečtěte si téma Řešení běžných problémů s certifikáty PKI služby Azure Stack Hub.

  3. Uložte zálohu na certifikáty použité k obměně v zabezpečeném umístění zálohování. Pokud se vaše rotace spustí a pak selže, před opětovným spuštěním rotace nahraďte certifikáty ve sdílené složce se záložními kopiemi. Uchovávejte záložní kopie v zabezpečeném umístění zálohování.

  4. Vytvořte sdílenou složku, ke které máte přístup z virtuálních počítačů ERCS. Sdílená složka musí být pro identitu CloudAdmin čitelná a zapisovatelná.

  5. Otevřete konzolu prostředí PowerShell ISE z počítače, kde máte přístup ke sdílené složce. Přejděte do sdílené složky, kde vytvoříte adresáře pro umístění externích certifikátů.

  6. Vytvořte složku ve sdílené složce s názvem Certificates. Ve složce certifikátů vytvořte podsložku s názvem AAD nebo ADFSv závislosti na poskytovateli identity, který vaše centrum používá. Například .\Certificates\AAD nebo .\Certificates\ADFS. V této části by se neměly vytvářet žádné jiné složky kromě složky certifikátů a podsložky zprostředkovatele identity.

  7. Zkopírujte novou sadu náhradních externích certifikátů vytvořených v kroku 2 do složky .\Certificates\<IdentityProvider> vytvořená v kroku 6. Jak je uvedeno výše, musí být podsložka zprostředkovatele identity buď nebo AAD ADFS. Ujistěte se, že alternativní názvy subjektu (SAN) náhradních externích certifikátů splňují cert.<regionName>.<externalFQDN> formát uvedený v požadavcích na certifikát infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub.

    Tady je příklad struktury složek pro zprostředkovatele identity Microsoft Entra:

        <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

*Platí pro použití služby Azure Container Registry (ACR) pro Microsoft Entra ID a ADFS.

Poznámka:

Pokud rotujete externí certifikáty container Registry, musíte ručně vytvořit Container Registry podsložku v podsložce zprostředkovatele identity. Kromě toho musíte do této ručně vytvořené podsložky uložit odpovídající certifikát .pfx.

Obměna

Pokud chcete obměňovat externí tajné kódy, proveďte následující kroky:

  1. K obměně tajných kódů použijte následující skript PowerShellu. Skript vyžaduje přístup k relaci privilegovaného koncového bodu (PEP). K privilegovanému koncovému bodu se přistupuje přes vzdálenou relaci PowerShellu na virtuálním počítači, který hostuje PEP. Pokud používáte integrovaný systém, existují tři instance PEP, z nichž každý běží uvnitř virtuálního počítače (Prefix-ERCS01, Prefix-ERCS02 nebo Prefix-ERCS03) na různých hostitelích. Skript provede následující kroky:

    • Vytvoří relaci PowerShellu s privilegovaným koncovým bodem pomocí účtu CloudAdmin a uloží relaci jako proměnnou. Tato proměnná se použije jako parametr v dalším kroku.

    • Spustí Invoke-Command a předá proměnnou relace PEP jako -Session parametr.

    • Spustí Start-SecretRotation se v relaci PEP pomocí následujících parametrů. Další informace najdete v referenčních informacích k Start-SecretRotation :

      Parametr Proměnná Popis
      -PfxFilesPath $CertSharePath Síťová cesta ke kořenové složce certifikátů, jak je popsáno v kroku 6 části Příprava, například \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds Objekt PSCredential pro přihlašovací údaje ke sdílené složce.
      -CertificatePassword $CertPassword Zabezpečený řetězec hesla, který se používá pro všechny vytvořené soubory certifikátu pfx. 
    # Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

  2. Obměně externího tajného kódu trvá přibližně jednu hodinu. Po úspěšném dokončení konzola zobrazí ActionPlanInstanceID ... CurrentStatus: Completed zprávu následovanou Action plan finished with status: 'Completed'. Odeberte certifikáty ze sdílené složky vytvořené v části Příprava a uložte je do zabezpečeného umístění zálohování.

    Poznámka:

    Pokud obměně tajných kódů selže, postupujte podle pokynů v chybové zprávě a znovu spusťte Start-SecretRotation parametr -ReRun .

    Start-SecretRotation -ReRun

    Pokud dojde k opakovaným selháním obměny tajných kódů, obraťte se na podporu.

  3. Pokud chcete ověřit, že se všechny externí certifikáty otočily, spusťte ověřovací nástroj Test-AzureStack pomocí následujícího skriptu:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug

Obměna interních tajných kódů

Mezi interní tajné kódy patří certifikáty, hesla, zabezpečené řetězce a klíče používané infrastrukturou služby Azure Stack Hub bez nutnosti zásahu operátora služby Azure Stack Hub. Obměna interních tajných kódů je nutná jenom v případě, že máte podezření, že došlo k ohrožení zabezpečení některého z nich, nebo když dostanete upozornění na skončení platnosti.

Před nasazením před 1811 se můžou zobrazit upozornění na nevyřízené vypršení platnosti interního certifikátu nebo tajného klíče. Tato upozornění jsou nepřesná a měla by se ignorovat a jedná se o známý problém vyřešený v roce 1811.

Pokud chcete obměňovat interní tajné kódy, proveďte následující kroky:

  1. Spusťte následující skript PowerShellu. Všimněte si, že při obměně interních tajných kódů se v části Spustit obměnu tajných kódů používá pouze -Internal parametr rutiny Start-SecretRotation:

    # Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

    Poznámka:

    Verze před 1811 nevyžadují -Internal příznak.

  2. Po úspěšném dokončení konzola zobrazí ActionPlanInstanceID ... CurrentStatus: Completed zprávu následovanou Action plan finished with status: 'Completed'.

    Poznámka:

    Pokud se obměna tajných kódů nezdaří, postupujte podle pokynů v chybové zprávě a znovu spusťte příkaz Start-SecretRotation s parametry -Internal a -ReRun.

    Start-SecretRotation -Internal -ReRun

    Pokud dojde k opakovaným selháním obměny tajných kódů, obraťte se na podporu.

Otočení kořenového certifikátu služby Azure Stack Hub

Kořenový certifikát služby Azure Stack Hub se zřizuje během nasazení s vypršením platnosti pěti let. Od verze 2108 obměna interních tajných kódů také obměňuje kořenový certifikát. Standardní výstraha vypršení platnosti tajného kódu identifikuje vypršení platnosti kořenového certifikátu a generuje výstrahy v 90 (upozornění) i 30 (kritické) dny.

Pokud chcete kořenový certifikát otočit, musíte aktualizovat systém na verzi 2108 a provést obměnu interních tajných kódů.

Následující fragment kódu používá k výpisu data vypršení platnosti kořenového certifikátu privilegovaný koncový bod:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Aktualizace přihlašovacích údajů BMC

Kontroler správy základní desky monitoruje fyzický stav vašich serverů. Pokyny k aktualizaci názvu a hesla řadiče pro správu základní desky najdete u výrobce hardwaru výrobce OEM (Original Equipment Manufacturer).

Poznámka:

OEM může poskytovat další aplikace pro správu. Aktualizace uživatelského jména nebo hesla pro jiné aplikace pro správu nemá žádný vliv na uživatelské jméno nebo heslo řadiče pro správu základní desky.

  1. Aktualizujte řadič pro správu základní desky na fyzických serverech služby Azure Stack Hub podle pokynů k OEM. Uživatelské jméno a heslo pro každou řadič pro správu základní desky ve vašem prostředí musí být stejné. Uživatelská jména řadiče pro správu základní desky nesmí překročit 16 znaků.
  1. Už se nevyžaduje, abyste nejprve aktualizovali přihlašovací údaje řadiče pro správu základní desky na fyzických serverech služby Azure Stack Hub podle pokynů k OEM. Uživatelské jméno a heslo pro každou řadič pro správu základní desky ve vašem prostředí musí být stejné a nesmí překročit 16 znaků.

  1. Otevřete privilegovaný koncový bod v relacích služby Azure Stack Hub. Pokyny najdete v tématu Použití privilegovaného koncového bodu ve službě Azure Stack Hub.

  2. Po otevření relace privilegovaného koncového bodu spusťte jeden z níže uvedených skriptů PowerShellu, které používají příkaz Invoke-Command ke spuštění set-BmcCredential. Pokud použijete volitelný parametr -BypassBMCUpdate s parametrem Set-BMCCredential, přihlašovací údaje v řadiči pro správu základní desky se neaktualizují. Aktualizuje se pouze interní úložiště dat služby Azure Stack Hub. Předejte proměnnou relace privilegovaného koncového bodu jako parametr.

    Tady je ukázkový skript PowerShellu, který zobrazí výzvu k zadání uživatelského jména a hesla:

    # Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

    Uživatelské jméno a heslo můžete také zakódovat do proměnných, což může být méně bezpečné:

    # Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Referenční informace: Rutina Start-SecretRotation

Rutina Start-SecretRotation obměňuje tajné kódy infrastruktury systému Azure Stack Hub. Tuto rutinu je možné spouštět pouze na privilegovaném koncovém bodu služby Azure Stack Hub pomocí Invoke-Command bloku skriptu, který předá relaci PEP v parametru -Session . Ve výchozím nastavení obměňuje pouze certifikáty všech koncových bodů externí síťové infrastruktury.

Parametr Type Požaduje se Position Výchozí Popis
PfxFilesPath String False Pojmenovaný Nic Cesta ke sdílené složce \Certifikáty obsahující všechny certifikáty koncových bodů externí sítě. Vyžaduje se pouze při obměně externích tajných kódů. Cesta musí končit složkou \Certificates, například \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword SecureString False Pojmenovaný Nic Heslo pro všechny certifikáty zadané v cestě -PfXFilesPath. Požadovaná hodnota, pokud je při obměně externích tajných kódů k dispozici PfxFilesPath.
Internal String False Pojmenovaný Nic Interní příznak se musí používat vždy, když operátor služby Azure Stack Hub chce obměňovat interní tajné kódy infrastruktury.
PathAccessCredential PsCredential False Pojmenovaný Nic Přihlašovací údaje PowerShellu pro sdílenou složku adresáře \Certificates obsahující všechny certifikáty externích koncových bodů sítě. Vyžaduje se pouze při obměně externích tajných kódů.
ReRun SwitchParameter False Pojmenovaný Nic Je nutné použít pokaždé, když se rotace tajných kódů znovu provede po neúspěšném pokusu.

Syntaxe

Obměně externích tajných kódů

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Pro obměně interních tajných kódů

Start-SecretRotation [-Internal]

Opětovné spuštění obměně externích tajných kódů

Start-SecretRotation [-ReRun]

Opětovné spuštění obměně interních tajných kódů

Start-SecretRotation [-ReRun] [-Internal]

Příklady

Obměna pouze interních tajných kódů infrastruktury

Tento příkaz musí být spuštěný prostřednictvím privilegovaného koncového bodu prostředí služby Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Tento příkaz obměňuje všechny tajné kódy infrastruktury vystavené interní síti služby Azure Stack Hub.

Obměna pouze tajných kódů externí infrastruktury

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Tento příkaz otočí certifikáty TLS používané pro koncové body externí síťové infrastruktury služby Azure Stack Hub.

Obměna interních a externích tajných kódů infrastruktury (pouze před 1811 )

Důležité

Tento příkaz se vztahuje pouze na azure Stack Hub před 1811, protože rotace byla rozdělena pro interní a externí certifikáty.

Od 1811+ už nemůžete obměňovat interní i externí certifikáty.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Tento příkaz obměňuje tajné kódy infrastruktury vystavené interní síti služby Azure Stack Hub a certifikáty TLS používané pro koncové body externí síťové infrastruktury služby Azure Stack Hub. Funkce Start-SecretRotation obměňuje všechny tajné kódy generované zásobníkem a protože jsou k dispozici certifikáty, budou se také obměňovat externí certifikáty koncových bodů.

Další kroky

Další informace o zabezpečení služby Azure Stack Hub