Delen via

Geheimen roteren in Azure Stack Hub

  • Artikel

Dit artikel bevat richtlijnen voor het uitvoeren van geheimrotatie om veilige communicatie met azure Stack Hub-infrastructuurbronnen en -services te onderhouden.

Overzicht

Azure Stack Hub maakt gebruik van geheimen om veilige communicatie met infrastructuurbronnen en -services te onderhouden. Om de integriteit van de Azure Stack Hub-infrastructuur te behouden, hebben operators de mogelijkheid nodig om geheimen te roteren op frequenties die consistent zijn met de beveiligingsvereisten van hun organisatie.

Wanneer geheimen bijna verlopen, worden de volgende waarschuwingen gegenereerd in de beheerportal. Als u het rouleren van geheimen voltooit, worden deze waarschuwingen opgelost:

  • Verlopen van wachtwoord voor serviceaccount in behandeling
  • Verlopen van intern certificaat in behandeling
  • Verlopen van extern certificaat in behandeling

Waarschuwing

Er zijn twee fasen van waarschuwingen geactiveerd in de beheerportal voordat deze verlopen:

  • 90 dagen voordat een waarschuwingswaarschuwing wordt gegenereerd.
  • 30 dagen voordat een kritieke waarschuwing verloopt, wordt gegenereerd.

Het is van cruciaal belang dat u het rouleren van geheimen voltooit als u deze meldingen ontvangt. Als u dit niet doet, kan dit leiden tot het verlies van workloads en mogelijk opnieuw implementeren van Azure Stack Hub op eigen kosten.

Zie Status en waarschuwingen bewaken in Azure Stack Hub voor meer informatie over waarschuwingsbewaking en herstel.

Notitie

Azure Stack Hub-omgevingen op pre-1811-versies kunnen waarschuwingen zien voor verlopen interne certificaten of geheimen die in behandeling zijn. Deze waarschuwingen zijn onjuist en moeten worden genegeerd zonder interne geheimrotatie uit te voeren. Onnauwkeurige waarschuwingen voor het verlopen van intern geheim zijn een bekend probleem dat in 1811 is opgelost. Interne geheimen verlopen pas als de omgeving al twee jaar actief is.

Vereisten

  1. Het wordt ten zeerste aanbevolen om een ondersteunde versie van Azure Stack Hub uit te voeren en dat u de meest recente beschikbare hotfix toepast voor de Versie van Azure Stack Hub waarop uw exemplaar wordt uitgevoerd. Als u bijvoorbeeld 2008 gebruikt, controleert u of u de meest recente hotfix hebt geïnstalleerd die beschikbaar is voor 2008.

    Belangrijk

    Voor pre-1811 versies:

    • Als geheimrotatie al is uitgevoerd, moet u bijwerken naar versie 1811 of hoger voordat u de geheime rotatie opnieuw uitvoert. Geheimrotatie moet worden uitgevoerd via het bevoegde eindpunt en vereist Azure Stack Hub Operator-referenties. Als u niet weet of geheimrotatie is uitgevoerd in uw omgeving, werkt u bij naar 1811 voordat u geheimrotatie uitvoert.
    • U hoeft geen geheimen te roteren om extensiehostcertificaten toe te voegen. Volg de instructies in het artikel Voorbereiden op extensiehost voor Azure Stack Hub om extensiehostcertificaten toe te voegen.

  2. Informeer uw gebruikers over geplande onderhoudsbewerkingen. Plan normale onderhoudsvensters, zoveel mogelijk, tijdens niet-kantooruren. Onderhoudsbewerkingen kunnen van invloed zijn op zowel gebruikersworkloads als portalbewerkingen.

  3. Genereer aanvragen voor certificaatondertekening voor Azure Stack Hub.

  4. Azure Stack Hub PKI-certificaten voorbereiden.

  5. Tijdens het roteren van geheimen kunnen operators waarschuwingen zien openen en automatisch sluiten. Dit is verwacht gedrag en deze waarschuwingen kunnen worden genegeerd. Operators kunnen de geldigheid van deze waarschuwingen controleren met behulp van de Cmdlet Test-AzureStack PowerShell. Als operators System Center Operations Manager gebruiken om Azure Stack Hub-systemen te bewaken, voorkomt het plaatsen van een systeem in de onderhoudsmodus dat deze waarschuwingen hun ITSM-systemen bereiken. Waarschuwingen blijven echter beschikbaar als het Azure Stack Hub-systeem onbereikbaar wordt.

Externe geheimen draaien

Belangrijk

Rotatie van extern geheim voor:

In deze sectie wordt het rouleren van certificaten beschreven die worden gebruikt voor het beveiligen van externe services. Deze certificaten worden geleverd door de Azure Stack Hub Operator voor de volgende services:

  • Beheerdersportal
  • Openbare portal
  • Azure Resource Manager-beheerder
  • Globale Azure Resource Manager
  • Administrator Key Vault
  • Key Vault
  • Host van beheerextensie
  • ACS (inclusief blob, tabel en wachtrijopslag)
  • ADFS1
  • Grafiek1
  • Container Registry2

1Van toepassing bij het gebruik van Active Directory Federated Services (ADFS).

2Van toepassing bij gebruik van Azure Container Registry (ACR).

Voorbereiding

Voorafgaand aan het rouleren van externe geheimen:

  1. Voer de Test-AzureStack PowerShell-cmdlet uit met behulp van de -group SecretRotationReadiness parameter om te controleren of alle testuitvoer in orde is voordat u geheimen roteert.

  2. Een nieuwe set vervangende externe certificaten voorbereiden:

    • De nieuwe set moet overeenkomen met de certificaatspecificaties die worden beschreven in de PKI-certificaatvereisten van Azure Stack Hub.

    • Genereer een aanvraag voor certificaatondertekening (CSR) om te verzenden naar uw certificeringsinstantie (CA). Gebruik de stappen die worden beschreven in Aanvragen voor certificaatondertekening genereren en bereid ze voor op gebruik in uw Azure Stack Hub-omgeving met behulp van de stappen in PKI-certificaten voorbereiden. Azure Stack Hub biedt ondersteuning voor geheimrotatie voor externe certificaten van een nieuwe certificeringsinstantie (CA) in de volgende contexten:

      Draaien vanaf CA Draaien naar CA Ondersteuning voor Azure Stack Hub-versies
      Zelfondertekend Enterprise 1903 en hoger
      Zelfondertekend Zelfondertekend Niet ondersteund
      Zelfondertekend Publiek* 1803 en hoger
      Enterprise Enterprise 1803 en hoger; 1803-1903 als DEZELFDE ondernemings-CA wordt gebruikt tijdens de implementatie
      Enterprise Zelfondertekend Niet ondersteund
      Enterprise Publiek* 1803 en hoger
      Publiek* Enterprise 1903 en hoger
      Publiek* Zelfondertekend Niet ondersteund
      Publiek* Publiek* 1803 en hoger

      *Onderdeel van het vertrouwde basisprogramma van Windows.

    • Zorg ervoor dat u de certificaten valideert die u voorbereidt met de stappen die worden beschreven in PKI-certificaten valideren

    • Zorg ervoor dat er geen speciale tekens in het wachtwoord staan, zoals bijvoorbeeld $,*,#,@)or'.

    • Zorg ervoor dat de PFX-versleuteling TripleDES-SHA1 is. Zie Veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub oplossen als u een probleem ondervindt.

  3. Sla een back-up op in de certificaten die worden gebruikt voor rotatie op een veilige back-uplocatie. Als uw rotatie wordt uitgevoerd en vervolgens mislukt, vervangt u de certificaten in de bestandsshare door de back-upkopieën voordat u de rotatie opnieuw uitvoert. Bewaar back-ups op de beveiligde back-uplocatie.

  4. Maak een bestandsshare die u kunt openen via de ERCS-VM's. De bestandsshare moet leesbaar en beschrijfbaar zijn voor de CloudAdmin-identiteit .

  5. Open een PowerShell ISE-console vanaf een computer waar u toegang hebt tot de bestandsshare. Navigeer naar uw bestandsshare, waar u mappen maakt om uw externe certificaten te plaatsen.

  6. Maak een map in de bestandsshare met de naam Certificates. Maak in de map certificaten een submap met de naam AAD of ADFS, afhankelijk van de id-provider die uw Hub gebruikt. Bijvoorbeeld .\Certificates\AAD of .\Certificates\ADFS. Er moeten hier geen andere mappen naast de map certificaten en de submap van de id-provider worden gemaakt.

  7. Kopieer de nieuwe set vervangende externe certificaten die u in stap 2 hebt gemaakt, naar de map .\Certificates\<IdentityProvider> die u in stap 6 hebt gemaakt. Zoals hierboven vermeld, moet de submap van uw id-provider zijn AAD of ADFS. Zorg ervoor dat de alternatieve namen van onderwerpen (SAN's) van uw vervangende externe certificaten voldoen aan de cert.<regionName>.<externalFQDN> indeling die is opgegeven in de PKI-certificaatvereisten (Public Key Infrastructure) van Azure Stack Hub.

    Hier volgt een voorbeeld van een mapstructuur voor de Microsoft Entra-id-provider:

        <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

*Van toepassing bij het gebruik van Azure Container Registry (ACR) voor Microsoft Entra ID en ADFS.

Notitie

Als u externe Container Registry-certificaten roteert, moet u handmatig een Container Registry submap maken in de submap van de id-provider. Daarnaast moet u het bijbehorende PFX-certificaat opslaan in deze handmatig gemaakte submap.

Rotatie

Voer de volgende stappen uit om externe geheimen te roteren:

  1. Gebruik het volgende PowerShell-script om de geheimen te roteren. Voor het script is toegang vereist tot een PEP-sessie (Privileged EndPoint). Het PEP wordt geopend via een externe PowerShell-sessie op de virtuele machine (VM) die als host fungeert voor het PEP. Als u een geïntegreerd systeem gebruikt, zijn er drie exemplaren van het PEP, die elk worden uitgevoerd binnen een VIRTUELE machine (voorvoegsel-ERCS01, voorvoegsel-ERCS02 of voorvoegsel-ERCS03) op verschillende hosts. Met het script voert u de volgende stappen uit:

    • Hiermee maakt u een PowerShell-sessie met het bevoegde eindpunt met behulp van het CloudAdmin-account en slaat u de sessie op als een variabele. Deze variabele wordt gebruikt als een parameter in de volgende stap.

    • Voert Invoke-Command uit, waarbij de PEP-sessievariabele wordt doorgegeven als de -Session parameter.

    • Wordt Start-SecretRotation uitgevoerd in de PEP-sessie met behulp van de volgende parameters. Zie de referentie Start-SecretRotation voor meer informatie:

      Parameter Variabele Beschrijving
      -PfxFilesPath $CertSharePath Het netwerkpad naar de basismap van uw certificaten, zoals beschreven in stap 6 van de sectie Voorbereiding, bijvoorbeeld \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds Het PSCredential-object voor referenties voor de share.
      -CertificatePassword $CertPassword Een veilige tekenreeks van het wachtwoord dat wordt gebruikt voor alle pfx-certificaatbestanden die zijn gemaakt. 
    # Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

  2. Het duurt ongeveer één uur om het externe geheim te rouleren. Na een geslaagde voltooiing wordt in de console een ActionPlanInstanceID ... CurrentStatus: Completed bericht weergegeven, gevolgd door Action plan finished with status: 'Completed'. Verwijder uw certificaten uit de share die u hebt gemaakt in de sectie Voorbereiding en sla ze op hun beveiligde back-uplocatie op.

    Notitie

    Als het rouleren van geheimen mislukt, volgt u de instructies in het foutbericht en voert u de -ReRun parameter opnieuw uitStart-SecretRotation.

    Start-SecretRotation -ReRun

    Neem contact op met de ondersteuning als u herhaalde fouten ondervindt bij het rouleren van geheimen.

  3. Als u wilt controleren of alle externe certificaten zijn geroteerd, voert u het validatieprogramma Test-AzureStack uit met behulp van het volgende script:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug

Interne geheimen draaien

Interne geheimen omvatten certificaten, wachtwoorden, beveiligde tekenreeksen en sleutels die worden gebruikt door de Azure Stack Hub-infrastructuur zonder tussenkomst van de Azure Stack Hub-operator. Rotatie van interne geheimen is alleen vereist als u vermoedt dat er een is aangetast of als u een vervaldatumwaarschuwing hebt ontvangen.

Pre-1811-implementaties kunnen waarschuwingen zien voor verlopen interne certificaten of geheimen die in behandeling zijn. Deze waarschuwingen zijn onjuist en moeten worden genegeerd en zijn een bekend probleem opgelost in 1811.

Voer de volgende stappen uit om interne geheimen te roteren:

  1. Voer het volgende PowerShell-script uit. Voor interne geheimrotatie gebruikt de sectie "Run Secret Rotation" alleen de -Internal parameter voor de cmdlet Start-SecretRotation:

    # Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

    Notitie

    Voor pre-1811-versies is de -Internal vlag niet vereist.

  2. Na een geslaagde voltooiing wordt in de console een ActionPlanInstanceID ... CurrentStatus: Completed bericht weergegeven, gevolgd door Action plan finished with status: 'Completed'.

    Notitie

    Als het roteren van geheimen mislukt, volgt u de instructies in het foutbericht en voert u Start-SecretRotation opnieuw uit met de parameters -Internal en -ReRun.

    Start-SecretRotation -Internal -ReRun

    Neem contact op met de ondersteuning als u herhaalde fouten ondervindt bij het rouleren van geheimen.

Azure Stack Hub-basiscertificaat draaien

Het Azure Stack Hub-basiscertificaat wordt ingericht tijdens de implementatie met een verloop van vijf jaar. Vanaf 2108 draait interne geheimrotatie ook het basiscertificaat. De standaardwaarschuwing voor het verlopen van geheimen identificeert de vervaldatum van het basiscertificaat en genereert waarschuwingen op zowel 90 (waarschuwing) als 30 (kritieke) dagen.

Als u het basiscertificaat wilt draaien, moet u uw systeem bijwerken naar 2108 en interne geheimrotatie uitvoeren.

In het volgende codefragment wordt het bevoegde eindpunt gebruikt om de vervaldatum van het basiscertificaat weer te geven:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

De BMC-referentie bijwerken

De beheercontroller van het basisbord bewaakt de fysieke status van uw servers. Raadpleeg de hardwareleverancier van de oorspronkelijke apparatuurfabrikant (OEM) voor instructies voor het bijwerken van de gebruikersnaam en het wachtwoord van de BMC.

Notitie

Uw OEM kan aanvullende beheer-apps bieden. Het bijwerken van de gebruikersnaam of het wachtwoord voor andere beheer-apps heeft geen invloed op de gebruikersnaam of het wachtwoord van de BMC.

  1. Werk de BMC op de fysieke Servers van Azure Stack Hub bij door uw OEM-instructies te volgen. De gebruikersnaam en het wachtwoord voor elke BMC in uw omgeving moeten hetzelfde zijn. De BMC-gebruikersnamen mogen niet langer zijn dan 16 tekens.
  1. Het is niet meer vereist dat u eerst de BMC-referenties op de fysieke Servers van Azure Stack Hub bijwerkt door uw OEM-instructies te volgen. De gebruikersnaam en het wachtwoord voor elke BMC in uw omgeving moeten hetzelfde zijn en mogen niet langer zijn dan 16 tekens.

  1. Open een bevoegd eindpunt in Azure Stack Hub-sessies. Zie Het bevoegde eindpunt gebruiken in Azure Stack Hub voor instructies.

  2. Nadat u een bevoegde eindpuntsessie hebt geopend, voert u een van de onderstaande PowerShell-scripts uit. Gebruik Invoke-Command om Set-BmcCredential uit te voeren. Als u de optionele parameter -BypassBMCUpdate met Set-BMCCredential gebruikt, worden referenties in de BMC niet bijgewerkt. Alleen het interne gegevensarchief van Azure Stack Hub wordt bijgewerkt. Geef uw bevoegde eindpuntsessievariabele door als parameter.

    Hier volgt een voorbeeld van een PowerShell-script waarin om gebruikersnaam en wachtwoord wordt gevraagd:

    # Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

    U kunt ook de gebruikersnaam en het wachtwoord coderen in variabelen, wat mogelijk minder veilig is:

    # Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Naslaginformatie: Cmdlet Start-SecretRotation

De cmdlet Start-SecretRotation roteert de infrastructuurgeheimen van een Azure Stack Hub-systeem. Deze cmdlet kan alleen worden uitgevoerd op het bevoegde eindpunt van Azure Stack Hub met behulp van een Invoke-Command scriptblok dat de PEP-sessie doorgeeft in de -Session parameter. Standaard worden alleen de certificaten van alle eindpunten van de externe netwerkinfrastructuur gedraaid.

Parameter Type Vereist Position Default Beschrijving
PfxFilesPath String Onwaar Genaamd Geen Het bestandssharepad naar de hoofdmap \Certificates met alle externe netwerkeindpuntcertificaten. Alleen vereist bij het roteren van externe geheimen. Het pad moet eindigen op de map \Certificates , bijvoorbeeld \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword SecureString Onwaar Genaamd Geen Het wachtwoord voor alle certificaten die zijn opgegeven in -PfXFilesPath. Vereiste waarde als PfxFilesPath wordt opgegeven wanneer externe geheimen worden gedraaid.
Internal String Onwaar Genaamd Geen Interne vlag moet worden gebruikt wanneer een Azure Stack Hub-operator interne infrastructuurgeheimen wil roteren.
PathAccessCredential PSCredential Onwaar Genaamd Geen De PowerShell-referentie voor de bestandsshare van de map \Certificates die alle certificaten voor externe netwerkeindpunten bevat. Alleen vereist bij het roteren van externe geheimen.
ReRun SwitchParameter Onwaar Genaamd Geen Moet worden gebruikt wanneer geheimrotatie opnieuw wordt uitgevoerd na een mislukte poging.

Syntaxis

Voor rotatie van extern geheim

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Voor interne geheimrotatie

Start-SecretRotation [-Internal]

Voor opnieuw uitvoeren van externe geheimrotatie

Start-SecretRotation [-ReRun]

Voor het opnieuw uitvoeren van interne geheimrotatie

Start-SecretRotation [-ReRun] [-Internal]

Voorbeelden

Alleen interne infrastructuurgeheimen roteren

Deze opdracht moet worden uitgevoerd via het bevoegde eindpunt van uw Azure Stack Hub-omgeving.

PS C:\> Start-SecretRotation -Internal

Met deze opdracht worden alle infrastructuurgeheimen gedraaid die beschikbaar zijn voor het interne Azure Stack Hub-netwerk.

Alleen geheimen van externe infrastructuur roteren

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Met deze opdracht worden de TLS-certificaten gedraaid die worden gebruikt voor de eindpunten van de externe netwerkinfrastructuur van Azure Stack Hub.

Geheimen van interne en externe infrastructuur draaien (alleen vóór 1811 )

Belangrijk

Deze opdracht is alleen van toepassing op Azure Stack Hub pre-1811 , omdat de rotatie is gesplitst voor interne en externe certificaten.

Vanaf 1811+ kunt u zowel interne als externe certificaten niet meer draaien!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Met deze opdracht roteert u de infrastructuurgeheimen die beschikbaar zijn voor het interne Azure Stack Hub-netwerk en de TLS-certificaten die worden gebruikt voor eindpunten van de externe netwerkinfrastructuur van Azure Stack Hub. Start-SecretRotation roteert alle door stack gegenereerde geheimen en omdat er certificaten zijn opgegeven, worden ook externe eindpuntcertificaten geroteerd.

Volgende stappen

Meer informatie over Azure Stack Hub-beveiliging