Effectuer la rotation des secrets dans Azure Stack Hub
Cet article fournit des instructions pour effectuer la rotation des secrets, afin de maintenir une communication sécurisée avec les ressources et services de l’infrastructure Azure Stack Hub.
Vue d’ensemble
Azure Stack Hub utilise des secrets pour maintenir une communication sécurisée avec les ressources et services d’infrastructure. Pour maintenir l’intégrité de l’infrastructure Azure Stack Hub, les opérateurs doivent pouvoir effectuer une rotation des secrets à une fréquence conforme aux exigences de sécurité de leur organisation.
Lorsque les secrets approchent de leur date d’expiration, les alertes suivantes sont générées dans le portail administrateur. La rotation des secrets permet de résoudre les alertes suivantes :
- Pending service account password expiration (Expiration imminente du mot de passe du compte de service)
- Pending internal certificate expiration (Expiration imminente du certificat interne)
- Pending external certificate expiration (Expiration imminente du certificat externe)
Avertissement
Il y a 2 phases d’alertes déclenchées dans le portail d’administration avant l’expiration :
- 90 jours avant l’expiration, une alerte d’avertissement est générée.
- 30 jours avant l’expiration, une alerte critique est générée.
Il est primordial que vous terminiez la rotation des secrets si vous recevez ces notifications. Dans le cas contraire, vous risquez de provoquer la perte de charges de travail et le redéploiement d’Azure Stack Hub à vos frais.
Pour plus d’informations sur la surveillance et la correction des alertes, consultez Surveiller l’intégrité et les alertes dans Azure Stack Hub.
Remarque
Des environnements Azure Stack Hub sur des versions antérieures à la version 1811 peuvent afficher des alertes relatives à des expirations imminentes de certificat ou de secret internes. Ces alertes sont incorrectes. Vous pouvez donc les ignorer sans exécuter la rotation des secrets internes. Les alertes d’expiration incorrectes des secrets internes sont un problème connu, résolu dans la version 1811. Les secrets internes n’expirent pas tant que l’environnement n’a pas été actif pendant deux ans.
Prérequis
Il est vivement recommandé d’exécuter une version prise en charge d’Azure Stack Hub et d’appliquer le dernier correctif logiciel disponible pour la version d’Azure Stack Hub exécutée par votre instance. Par exemple, si vous exécutez 2008, vérifiez que vous avez installé le dernier correctif logiciel disponible pour 2008.
Important
Pour les versions antérieures à la version 1811 :
- Si une rotation des secrets a déjà été effectuée, vous devez effectuer une mise à jour vers la version 1811 ou une version ultérieure avant d’exécuter à nouveau une rotation des secrets. Une rotation des secrets doit être exécutée via le point de terminaison privilégié et nécessite les informations d’identification de l’opérateur Azure Stack Hub. Si vous ignorez si une rotation des secrets a été exécutée sur votre environnement, effectuez une mise à jour vers la version 1811 avant d’effectuer une rotation des secrets.
- Vous n’avez pas besoin d’effectuer une rotation des secrets pour ajouter des certificats d’hôte d’extension. Suivez les instructions de l’article Préparer un hôte d’extension pour Azure Stack Hub pour ajouter des certificats d’hôte d’extension.
Notifiez vos utilisateurs des opérations de maintenance planifiée. Planifiez les fenêtres de maintenance normale pendant les heures creuses, autant que possible. Les opérations de maintenance peuvent affecter les opérations du portail et les charges de travail des utilisateurs.
Générez des demandes de signature de certificat pour Azure Stack Hub.
Préparez des certificats PKI Azure Stack Hub.
Pendant la rotation des secrets, les opérateurs remarqueront peut-être que des alertes s’ouvrent et se ferment automatiquement. Ce comportement est normal et les alertes peuvent être ignorées. Les opérateurs peuvent vérifier la validité de ces alertes à l’aide de la cmdlet PowerShell Test-AzureStack. Pour les opérateurs, l’utilisation de System Center Operations Manager pour surveiller les systèmes Azure Stack Hub, le placement d’un système en mode maintenance empêche ces alertes d’atteindre leurs systèmes ITSM. Toutefois, les alertes continueront d’arriver si le système Azure Stack Hub devient inaccessible.
Effectuer une rotation des secrets externes
Important
Rotation des secrets externes :
- La rotation des secrets autres que des certificats, comme les clés et chaînes sécurisées doit être effectuée manuellement par l’administrateur. Sont inclus les mots de passe des comptes d’utilisateur et d’administrateur, ainsi que les mots de passe de commutateur réseau.
- Les secrets du fournisseur de ressources d’ajout de valeur (RP) sont couverts par des instructions distinctes :
- Les informations d’identification BMC (Baseboard Management Controller) sont un processus manuel, abordé plus loin dans cet article.
- Les certificats externes Azure Container Registry sont un processus manuel, abordé plus loin dans cet article.
Cette section traite de la rotation des certificats utilisés pour sécuriser des services externes. Ces certificats sont fournis par l’opérateur Azure Stack Hub, pour les services suivants :
- Portail administrateur
- Portail public
- Administrateur Azure Resource Manager
- Global Azure Resource Manager
- Administrateur Key Vault
- Key Vault
- Hôte d’extension d’administration
- ACS (y compris stockage objet blob, table et file d’attente)
- ADFS1
- Graphique1
- Registre deconteneurs 2
1Applicable lors de l’utilisation des services fédérés Active Directory (ADFS).
2Applicable lors de l’utilisation d’Azure Container Registry (ACR).
Préparation
Avant d’effectuer la rotation des secrets externes :
Exécutez l’applet de commande PowerShell
Test-AzureStack
en utilisant le paramètre-group SecretRotationReadiness
, pour confirmer que toutes les sorties de test sont intègres avant d’effectuer la rotation des secrets.Préparez un nouveau jeu de certificats externes de remplacement :
Le nouveau jeu doit répondre aux spécifications de certificat décrites dans la page Exigences de certificat d’infrastructure de clés publiques Azure Stack Hub.
Générez une demande de signature de certificat (CSR) à soumettre à votre autorité de certification. Suivez la procédure décrite dans Générer les demandes de signature de certificat, puis préparez les demandes en vue de les utiliser dans votre environnement Azure Stack Hub en procédant de la manière décrite dans Préparer des certificats d’infrastructure à clé publique. Azure Stack Hub prend en charge la rotation des secrets pour les certificats externes obtenus auprès d’une nouvelle autorité de certification dans les contextes suivants :
Rotation depuis l’autorité de certification Rotation vers l’autorité de certification Prise en charge des versions Azure Stack Hub Auto-signé Enterprise 1903 et versions ultérieures Auto-signé Auto-signé Non pris en charge Auto-signé Public* 1803 et versions ultérieures Entreprise Entreprise 1803 et versions ultérieures, 1803-1903 si l’autorité de certification d’entreprise est la MÊME que celle utilisée lors du déploiement Enterprise Auto-signé Non pris en charge Enterprise Public* 1803 et versions ultérieures Public* Enterprise 1903 et versions ultérieures Public* Auto-signé Non pris en charge Public* Public* 1803 et versions ultérieures *Dans le cadre du programme de certification racine approuvé Windows.
Veillez à valider les certificats que vous préparez en suivant la procédure décrite dans Valider des certificats PKI.
Vérifiez que le mot de passe ne contient pas de caractères spéciaux, tels que
$
,*
,#
,@
,or
)`.Vérifiez que le chiffrement PFX est TripleDES-SHA1. Si vous rencontrez un problème, voir Corriger les problèmes courants liés aux certificats d’infrastructure de clés publiques Azure Stack Hub.
Stockez une sauvegarde des certificats utilisés pour la rotation dans un emplacement de sauvegarde sécurisé. Si votre rotation s’exécute puis échoue, remplacez les certificats dans le partage de fichiers par les copies de sauvegarde avant d’exécuter à nouveau la rotation. Conservez des copies de sauvegarde dans l’emplacement de sauvegarde sécurisé.
Créez un partage de fichiers auquel vous pouvez accéder depuis les machines virtuelles ERCS. Le partage de fichiers doit être accessible en lecture et en écriture pour l’identité CloudAdmin.
Ouvrez une console PowerShell ISE à partir d’un ordinateur sur lequel vous avez accès au partage de fichiers. Accédez à votre partage de fichiers afin de créer des répertoires dans lesquels placer vos certificats externes.
Créez un dossier dans le partage de fichiers nommé
Certificates
. Dans le dossier certificats, créez un sous-dossier nomméAAD
ouADFS
, selon le fournisseur d’identité que votre hub utilise. Par exemple, .\Certificates\AAD ou .\Certificates\ADFS. Aucun autre dossier en plus du dossier certificats et du sous-dossier fournisseur d’identité ne doit être créé ici.Copiez le nouvel ensemble de certificats externes de remplacement créés à l’étape 2, dans le dossier .\Certificates\<IdentityProvider> créé à l’étape 6. Comme mentionné ci-dessus, le sous-dossier de votre fournisseur d’identité doit être
AAD
ouADFS
. Assurez-vous que les autres noms d’objet de vos certificats externes de remplacement suivent le format spécifié dans lescert.<regionName>.<externalFQDN>
exigences de certificat PKI (Public Key Infrastructure) Azure Stack Hub.Voici un exemple de structure de dossiers pour le fournisseur d’identité Microsoft Entra :
<ShareName> │ └───Certificates └───AAD ├───ACSBlob │ <CertName>.pfx │ ├───ACSQueue │ <CertName>.pfx │ ├───ACSTable │ <CertName>.pfx │ ├───Admin Extension Host │ <CertName>.pfx │ ├───Admin Portal │ <CertName>.pfx │ ├───ARM Admin │ <CertName>.pfx │ ├───ARM Public │ <CertName>.pfx │ ├───Container Registry* │ <CertName>.pfx │ ├───KeyVault │ <CertName>.pfx │ ├───KeyVaultInternal │ <CertName>.pfx │ ├───Public Extension Host │ <CertName>.pfx │ └───Public Portal <CertName>.pfx
*Applicable lors de l’utilisation d’Azure Container Registry (ACR) pour Microsoft Entra ID et ADFS.
Remarque
Si vous effectuez une rotation des certificats Container Registry externes, vous devez créer manuellement un Container Registry
sous-dossier dans le sous-dossier du fournisseur d’identité. En outre, vous devez stocker le certificat .pfx correspondant dans ce sous-dossier créé manuellement.
Rotation
Pour effectuer une rotation des secrets externes, procédez comme suit :
Utilisez le script PowerShell suivant pour effectuer la rotation des secrets. Le script requiert un accès à une session de point de terminaison privilégié (PEP). Vous accédez au point de terminaison privilégié via une session PowerShell à distance sur la machine virtuelle qui l’héberge. Si vous utilisez un système intégré, il existe trois instances du point de terminaison privilégié, chacune s’exécutant à l’intérieur d’une machine virtuelle (Prefix-ERCS01, Prefix-ERCS02 ou Prefix-ERCS03) sur des hôtes différents. Le script effectue les étapes suivantes :
Crée une session PowerShell avec le point de terminaison privilégié en utilisant le compte CloudAdmin, et stocke la session en tant que variable. Cette variable est utilisée en tant que paramètre à l’étape suivante.
Exécute la commande Invoke-Command en passant la variable de session PEP en tant que paramètre
-Session
.Exécute
Start-SecretRotation
dans la session PEP, en utilisant les paramètres suivants. Pour plus d’informations, consultez la référence Start-SecretRotation :Paramètre Variable Description -PfxFilesPath
$CertSharePath Chemin d’accès réseau à votre dossier racine de certificats, comme indiqué à l’étape 6 de la section Préparation, par exemple \\<IPAddress>\<ShareName>\Certificates
.-PathAccessCredential
$CertShareCreds objet PSCredential pour les informations d’identification pour l’accès au partage. -CertificatePassword
$CertPassword Une chaîne sécurisée du mot de passe utilisée pour tous les fichiers de certificat pfx créés.
# Create a PEP session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run secret rotation $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force $CertShareCreds = Get-Credential $CertSharePath = "<Network_Path_Of_CertShare>" Invoke-Command -Session $PEPsession -ScriptBlock { param($CertSharePath, $CertPassword, $CertShareCreds ) Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds) Remove-PSSession -Session $PEPSession
La rotation des secrets externes prend environ une heure. Une fois l’opération terminée, votre console affiche un message
ActionPlanInstanceID ... CurrentStatus: Completed
, suivi deAction plan finished with status: 'Completed'
. Supprimez vos certificats du partage créé dans la section Préparation, puis stockez-les à leur emplacement de sauvegarde sécurisé.Remarque
Si la rotation des secrets échoue, suivez les instructions du message d’erreur et réexécutez-la
Start-SecretRotation
avec le-ReRun
paramètre.Start-SecretRotation -ReRun
Contactez le support si vous rencontrez des échecs répétés de rotation des secrets.
Si vous le souhaitez, pour confirmer que tous les certificats externes ont fait l’objet d’une rotation, exécutez l’outil de validation Test-AzureStack à l’aide du script suivant :
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
Effectuer une rotation des secrets internes
Les secrets internes incluent les certificats, mots de passe, chaînes sécurisées et clés utilisés par l’infrastructure Azure Stack Hub sans intervention de l’opérateur Azure Stack Hub. Une rotation de secret interne n’est requise que si vous soupçonnez que quelqu’un a été compromis, ou si vous avez reçu une alerte d’expiration.
Des déploiements antérieurs à la version 1811 peuvent afficher des alertes relatives à des expirations imminentes de secrets ou certificats internes. Ces alertes sont inexactes et doivent être ignorées. Il s’agit d’un problème connu résolu dans la version 1811.
Pour effectuer une rotation des secrets internes, effectuez les étapes suivantes :
Exécutez le script PowerShell suivant. Notez que pour la rotation interne des secrets, la section « Exécuter la rotation des secrets » utilise uniquement le paramètre
-Internal
de l’applet de commande Start-SecretRotation :# Create a PEP Session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run Secret Rotation Invoke-Command -Session $PEPSession -ScriptBlock { Start-SecretRotation -Internal } Remove-PSSession -Session $PEPSession
Remarque
Les versions antérieures à la version 1811 ne nécessitent pas l’indicateur
-Internal
.Une fois l’opération terminée, votre console affiche un message
ActionPlanInstanceID ... CurrentStatus: Completed
, suivi deAction plan finished with status: 'Completed'
.Remarque
En cas d’échec de la rotation des secrets, suivez les instructions dans le message d’erreur et réexécutez
Start-SecretRotation
avec les paramètres-Internal
et-ReRun
.Start-SecretRotation -Internal -ReRun
Contactez le support si vous rencontrez des échecs répétés de rotation des secrets.
Faire pivoter le certificat racine Azure Stack Hub
Le certificat racine Azure Stack Hub est approvisionné pendant le déploiement avec une expiration de cinq ans. À compter de 2108, la rotation des secrets internes fait également pivoter le certificat racine. L’alerte d’expiration du secret standard identifie l’expiration du certificat racine et génère des alertes à 90 (avertissements) et 30 jours (critiques).
Pour faire pivoter le certificat racine, vous devez mettre à jour votre système vers 2108 et effectuer une rotation des secrets internes.
L’extrait de code suivant utilise le point de terminaison privilégié pour répertorier la date d’expiration du certificat racine :
$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }
$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan
Mettre à jour les informations d’identification du contrôleur de gestion de la carte de base (BMC)
Le contrôleur de gestion de la carte de base (BMC) analyse l’état physique de vos serveurs. Pour des instructions sur la mise à jour du nom et du mot de passe du compte d’utilisateur du contrôleur BMC, contactez le fabricant d’ordinateurs OEM.
Remarque
Votre OEM peut fournir des applications de gestion supplémentaires. La mise à jour du nom d’utilisateur ou du mot de passe pour d’autres applications de gestion n’a aucun effet sur le nom d’utilisateur ou le mot de passe du contrôleur de gestion de la carte de base.
- Mettez à jour le contrôleur BMC sur les serveurs physiques Azure Stack Hub en suivant les instructions de votre fabricant OEM. Tous les contrôleurs BMC de votre environnement doivent avoir les mêmes nom et mot de passe d’utilisateur. Les noms d’utilisateur BMC ne peuvent pas dépasser 16 caractères.
- Il n’est plus nécessaire de commencer par mettre à jour les informations d’identification BMC sur les serveurs physiques Azure Stack Hub en suivant les instructions de votre fabricant OEM. Les nom d’utilisateur et mot de passe de chaque BMC dans votre environnement doivent être identiques, et ne peuvent pas dépasser 16 caractères.
Ouvrez un point de terminaison privilégié dans des sessions Azure Stack Hub. Pour obtenir des instructions, consultez Utilisation du point de terminaison privilégié dans Azure Stack Hub.
Après avoir ouvert une session de point de terminaison privilégié, exécutez l’un des scripts PowerShell ci-dessous, qui utilisent Invoke-Command pour exécuter Set-BmcCredential. Si vous utilisez le paramètre facultatif -BypassBMCUpdate avec Set-BMCCredential, les informations d’identification dans le BMC ne sont pas mises à jour. Seul le magasin de données interne d’Azure Stack Hub est mis à jour. Passez la variable de session de votre point de terminaison privilégié en tant que paramètre.
Voici un exemple de script PowerShell qui vous invite à entrer le nom d’utilisateur et le mot de passe :
# Interactive Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials" $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString $NewBmcUser = Read-Host -Prompt "Enter New BMC user name" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Vous pouvez également encoder le nom d’utilisateur et le mot de passe dans des variables qui peuvent être moins sécurisées :
# Static Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>" $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd) $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force $NewBmcUser = "<New BMC User name>" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Référence : applet de commande Start-SecretRotation
La cmdlet Start-SecretRotation effectue la rotation des secrets d’infrastructure d’un système Azure Stack Hub. Cette cmdlet ne peut être exécutée que sur le point de terminaison privilégié Azure Stack Hub, à l’aide d’un bloc de script Invoke-Command
passant la session PEP dans le paramètre -Session
. Par défaut, elle effectue uniquement la rotation des certificats de tous les points de terminaison de l’infrastructure réseau externe.
Paramètre | Type | Requis | Position | Default | Description |
---|---|---|---|---|---|
PfxFilesPath |
Chaîne | False | named | Aucun(e) | Le chemin d’accès au partage de fichiers pour le dossier racine \Certificates contenant tous les certificats de points de terminaison réseau externe. Uniquement requis lors de la rotation de secrets externes. Le chemin d’accès doit se terminer par le dossier \Certificates, par exemple \\<IPAddress>\<ShareName>\Certificates. |
CertificatePassword |
SecureString | False | named | Aucun(e) | Le mot de passe pour tous les certificats fournis dans le -PfXFilesPath. Valeur requise si PfxFilesPath est fourni lors de la rotation des secrets externes. |
Internal |
Chaîne | False | named | Aucun(e) | L’indicateur interne doit être utilisé chaque fois qu’un opérateur Azure Stack Hub souhaite effectuer la rotation des secrets d’infrastructure internes. |
PathAccessCredential |
PSCredential | False | named | Aucun(e) | Les informations d’identification PowerShell du partage de fichiers pour le répertoire \Certificates contenant tous les certificats de points de terminaison réseau externe. Uniquement requis lors de la rotation de secrets externes. |
ReRun |
SwitchParameter | False | named | Aucun(e) | Doit être utilisé à chaque nouvelle tentative de rotation des secrets après un échec. |
Syntaxe
Rotation des secrets externes
Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]
Rotation des secrets internes
Start-SecretRotation [-Internal]
Réexécution de la rotation des secrets externes
Start-SecretRotation [-ReRun]
Réexécution de la rotation des secrets internes
Start-SecretRotation [-ReRun] [-Internal]
Exemples
Effectuer la rotation des secrets d’infrastructure internes uniquement
Cette commande doit être exécutée via le point de terminaison privilégié de votre environnement Azure Stack Hub.
PS C:\> Start-SecretRotation -Internal
Cette commande effectue la rotation de tous les secrets de l’infrastructure exposés au réseau interne Azure Stack Hub.
Effectuer la rotation des secrets d’infrastructure externes uniquement
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
param($CertSharePath, $CertPassword, $CertShareCreds )
Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession
Cette commande effectue la rotation des certificats TLS utilisés pour les points de terminaison de l’infrastructure réseau externe d’Azure Stack Hub.
Effectuer la rotation des secrets d’infrastructure internes et externes (avant la mise à jour 1811 uniquement)
Important
Cette commande s’applique uniquement aux versions d’Azure Stack Hub antérieures à la version 1811 car la rotation a été fractionnée pour les certificats internes et externes.
Depuis la mise à jour 1811+, vous ne pouvez plus faire pivoter des certificats internes et externes.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession
Cette commande effectue la rotation des secrets d’infrastructure exposés au réseau interne Azure Stack Hub, ainsi que des certificats TLS utilisés pour les points de terminaison de l’infrastructure réseau externe d’Azure Stack Hub. Start-SecretRotation effectue la rotation de tous les secrets générés par la pile, et comme des certificats sont fournis, la rotation des certificats de points de terminaison externes sera également effectuée.