Rotacja wpisów tajnych w usłudze Azure Stack Hub

Artykuł
03/22/2025

Artykuł ten zawiera wskazówki dotyczące przeprowadzania rotacji tajemnic, aby pomóc w utrzymaniu bezpiecznej komunikacji z zasobami i usługami infrastruktury Azure Stack Hub.

Omówienie

Azure Stack Hub używa tajemnic do zapewnienia bezpiecznej komunikacji z zasobami i usługami infrastruktury. Aby zachować integralność infrastruktury usługi Azure Stack Hub, operatorzy muszą mieć możliwość zmiany poufnych danych z częstotliwością, która jest zgodna z wymaganiami dotyczącymi zabezpieczeń w organizacji.

Gdy wpisy tajne są bliskie wygaśnięcia, w portalu administratora są generowane następujące alerty. Ukończenie rotacji tajnych danych rozwiązuje następujące alerty:

Oczekiwanie na wygaśnięcie hasła konta usługi
Oczekiwanie na wygaśnięcie certyfikatu wewnętrznego
Oczekiwanie na wygaśnięcie certyfikatu zewnętrznego

Ostrzeżenie

Przed wygaśnięciem w portalu administratora są wyzwalane 2 fazy alertów:

90 dni przed wygaśnięciem zostanie wygenerowany alert ostrzegawczy.
30 dni przed wygaśnięciem zostanie wygenerowany alert krytyczny.

Ważne jest ukończenie rotacji tajnych danych, jeśli otrzymujesz te powiadomienia. Niepowodzenie tej czynności może spowodować utratę obciążeń i prawdopodobnie wymagać ponownego wdrożenia usługi Azure Stack Hub na własny koszt.

Aby uzyskać więcej informacji na temat monitorowania alertów i korygowania, zobacz Monitorowanie kondycji i alertów w usłudze Azure Stack Hub.

Wymagania wstępne

Zaleca się uruchomienie obsługiwanej wersji usługi Azure Stack Hub i zastosowanie najnowszej dostępnej poprawki dla używanej wersji wystąpienia usługi Azure Stack Hub. Jeśli na przykład korzystasz z wersji 2408, upewnij się, że zainstalowano najnowszą poprawkę dostępną dla wersji 2408.
Powiadamianie użytkowników o planowanych operacjach konserwacji. Zaplanuj normalne okna obsługi, w miarę możliwości, poza godzinami pracy. Operacje konserwacji mogą mieć wpływ zarówno na obciążenia użytkowników, jak i operacje portalu.
Generowanie żądań podpisywania certyfikatów dla usługi Azure Stack Hub.
Przygotowywanie certyfikatów infrastruktury kluczy publicznych usługi Azure Stack Hub.
Podczas tajnej rotacji operatorzy mogą zauważyć, że alerty otwierają się i zamykają automatycznie. Jest to oczekiwane zachowanie, a wyświetlane alerty można zignorować. Operatorzy mogą zweryfikować ważność tych alertów przy użyciu polecenia cmdlet programu PowerShell Test-AzureStack. W przypadku operatorów używających programu System Center Operations Manager do monitorowania systemów Azure Stack Hub, umieszczenie systemu w trybie konserwacji zapobiegnie dotarciu tych alertów do systemów ITSM. Jednak alerty będą nadal dostępne, jeśli system usługi Azure Stack Hub stanie się niedostępny.

Aktualizowanie zewnętrznych tajnych danych

Ważne

Zewnętrzna rotacja tajnych danych dla:

Wpisy tajne inne niż certyfikaty, takie jak bezpieczne klucze i ciągi , muszą być wykonywane ręcznie przez administratora. Obejmuje to hasła konta użytkownika i administratora oraz hasła przełącznika sieciowego.
Tajne wpisy dostawcy zasobów o wartości dodanej (RP) są objęte odrębnymi wytycznymi:
Poświadczenia kontrolera zarządzania płytą główną (BMC) to proces ręczny, który zostanie opisany w dalszej części tego artykułu.
Certyfikaty zewnętrzne usługi Azure Container Registry to proces ręczny opisany w dalszej części tego artykułu.

W tej sekcji opisano rotację certyfikatów używanych do zabezpieczania usług zewnętrznych. Te certyfikaty są udostępniane przez operatora usługi Azure Stack Hub dla następujących usług:

Portal administratora
Portal publiczny
Administrator Azure Resource Manager
Globalna usługa Azure Resource Manager
Key Vault dla administratora
Key Vault (magazyn kluczy)
Host rozszerzenia administratora
ACS (w tym przechowywanie obiektów blob, tabel i kolejek)
ADFS¹
Graf¹
Rejestr Kontenerów²

¹Dotyczy korzystania z usług Federacyjnych Active Directory (ADFS).

²Dotyczy korzystania z usługi Azure Container Registry (ACR).

Przygotowywanie

Przed rotacją zewnętrznych sekretów:

Test-AzureStack Uruchom polecenie cmdlet programu PowerShell z parametrem -group SecretRotationReadiness, aby potwierdzić, że wszystkie wyniki testów są poprawne przed aktualizacją tajnych danych.

Przygotuj nowy zestaw zastępczych certyfikatów zewnętrznych:

Nowy zestaw musi być zgodny ze specyfikacjami certyfikatów opisanymi w wymaganiach dotyczących certyfikatów PKI usługi Azure Stack Hub.

Wygeneruj żądanie podpisania certyfikatu (CSR), aby przesłać go do urzędu certyfikacji. Wykonaj kroki opisane w temacie Generowanie żądań podpisywania certyfikatów i przygotuj je do użycia w środowisku usługi Azure Stack Hub, wykonując kroki opisane w artykule Przygotowywanie certyfikatów PKI. Usługa Azure Stack Hub obsługuje rotację sekretów dla certyfikatów zewnętrznych z nowego Urzędu Certyfikacji (CA) w następujących kontekstach:

Zmiana urzędu certyfikacji	Obróć w stronę Kalifornii	Obsługa wersji usługi Azure Stack Hub
Z podpisem własnym	Przedsiębiorstwa	1903 i nowsze
Z podpisem własnym	Z podpisem własnym	Nieobsługiwany
Z podpisem własnym	Publiczny^*	1803 i nowsze
Przedsiębiorstwa	Przedsiębiorstwa	1803 i nowsze; 1803–1903, jeśli ten sam urząd certyfikacji przedsiębiorstwa, który był używany podczas wdrażania
Przedsiębiorstwa	Z podpisem własnym	Nieobsługiwany
Przedsiębiorstwa	Publiczny^*	1803 i nowsze
Publiczny^*	Przedsiębiorstwa	1903 i nowsze
Publiczny^*	Z podpisem własnym	Nieobsługiwane
Publiczny^*	Publiczny^*	1803 i nowsze

^*Część zaufanego programu głównego systemu Windows.

Pamiętaj, aby zweryfikować przygotowane certyfikaty, wykonując kroki opisane w temacie Weryfikowanie certyfikatów PKI
Upewnij się, że w haśle nie ma żadnych znaków specjalnych, takich $jak ,*,#,,@,or)".
Upewnij się, że szyfrowanie PFX ma wartość TripleDES-SHA1. Jeśli wystąpi problem, zobacz Rozwiązywanie typowych problemów z certyfikatami infrastruktury kluczy publicznych usługi Azure Stack Hub.

Zapisz kopię zapasową certyfikatów używanych do rotacji w bezpiecznej lokalizacji kopii zapasowej. Jeśli rotacja zostanie uruchomiona, a następnie zakończy się niepowodzeniem, przed ponownym uruchomieniem rotacji zastąp certyfikaty w udziałie plików kopiami zapasowymi. Zachowaj kopie zapasowe w bezpiecznej lokalizacji kopii zapasowej.
Utwórz zasób udostępniania plików, do którego można uzyskać dostęp z maszyn wirtualnych ERCS. Udział plików musi być czytelny i zapisywalny dla tożsamości CloudAdmin .
Otwórz konsolę programu PowerShell ISE z komputera, na którym masz dostęp do zasobu plików. Przejdź do zasobu plikowego, gdzie tworzysz katalogi na certyfikaty zewnętrzne.
Utwórz folder w udziale plików o nazwie Certificates. W folderze certificates utwórz podfolder o nazwie AAD lub ADFS, w zależności od dostawcy tożsamości używanego przez centrum. Na przykład .\Certificates\AAD lub .\Certificates\ADFS. W tym miejscu nie powinny być tworzone żadne inne foldery poza folderem certyfikatów i podfolderem dostawcy tożsamości.

Skopiuj nowy zestaw zastępczych certyfikatów zewnętrznych utworzonych w kroku 2 do folderu .\Certificates\<IdentityProvider> utworzonego w kroku 6. Jak wspomniano wcześniej, podfolder usługi zarządzania tożsamością musi być AAD lub ADFS. Upewnij się, że alternatywne nazwy podmiotu (SAN) zastępczych certyfikatów zewnętrznych są zgodne z formatem cert.<regionName>.<externalFQDN> określonym w wymaganiach dotyczących certyfikatów infrastruktury kluczy publicznych (PKI) usługi Azure Stack Hub .

Oto przykład struktury folderów dla dostawcy tożsamości Microsoft Entra.

    <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

^*Dotyczy korzystania z usługi Azure Container Registry w Microsoft Entra ID i AD FS.

Uwaga

Jeśli dokonujesz rotacji zewnętrznych certyfikatów rejestru kontenerów, musisz ręcznie utworzyć podfolder Container Registry w podfolderze dostawcy tożsamości. Ponadto należy przechowywać odpowiedni certyfikat pfx w tym ręcznie utworzonym podfolderze.

Rotacja

Wykonaj następujące kroki, aby zaktualizować zewnętrzne sekrety:

Użyj następującego skryptu programu PowerShell, aby zaktualizować tajne dane. Skrypt wymaga dostępu do sesji privileged EndPoint (PEP). Dostęp do pep jest uzyskiwany za pośrednictwem zdalnej sesji programu PowerShell na maszynie wirtualnej, która hostuje pep. Jeśli używasz zintegrowanego systemu, istnieją trzy wystąpienia PEP, z których każdy działa na maszynie wirtualnej (Prefix-ERCS01, Prefix-ERCS02 lub Prefix-ERCS03) na różnych hostach. Skrypt wykonuje następujące kroki:

Tworzy sesję programu PowerShell z uprzywilejowanym punktem końcowym przy użyciu konta CloudAdmin i zapisuje sesję jako zmienną. Ta zmienna jest używana jako parametr w następnym kroku.
Uruchamia Invoke-Command, przekazując jako parametr zmienną sesji PEP -Session.

Uruchamia Start-SecretRotation w sesji PEP przy użyciu następujących parametrów. Aby uzyskać więcej informacji, zobacz dokumentację Start-SecretRotation :

Parametr	Zmienna	opis
`-PfxFilesPath`	$CertSharePath	Ścieżka sieciowa do folderu głównego certyfikatów, jak opisano w kroku 6 sekcji Przygotowanie, na przykład `\\<IPAddress>\<ShareName>\Certificates`.
`-PathAccessCredential`	$CertShareCreds	Obiekt PSCredential dla poświadczeń do zasobu udostępnionego.
`-CertificatePassword`	$CertPassword	Bezpieczny ciąg hasła używanego dla wszystkich utworzonych plików certyfikatów pfx.

# Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Rotacja zewnętrznych tajników trwa około godziny. Po pomyślnym zakończeniu konsola wyświetli ActionPlanInstanceID ... CurrentStatus: Completed komunikat, po którym następuje Action plan finished with status: 'Completed'. Usuń certyfikaty z udziału utworzonego w sekcji Przygotowanie i zapisz je w bezpiecznym miejscu przechowywania kopii zapasowej.
Uwaga

Jeśli tajna rotacja się nie powiedzie, postępuj zgodnie z instrukcjami w komunikacie błędu i uruchom ponownie Start-SecretRotation z parametrem -ReRun:
```
Start-SecretRotation -ReRun
```
Skontaktuj się z pomocą techniczną, jeśli wystąpią powtarzające się błędy zmiany tajemnic.
Opcjonalnie, aby potwierdzić, że wszystkie certyfikaty zewnętrzne zostały obrócone, uruchom narzędzie do weryfikacji Test-AzureStack przy użyciu następującego skryptu:
```
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
```

Obracanie wewnętrznych sekretów

Wewnętrzne tajne dane obejmują certyfikaty, hasła, bezpieczne ciągi i klucze używane przez infrastrukturę Azure Stack Hub, bez ingerencji operatora Azure Stack Hub. Rotacja wewnętrzna tajemnic jest wymagana tylko wtedy, gdy podejrzewasz, że jedna z nich została naruszona lub gdy otrzymasz alert o wygaśnięciu.

Wykonaj następujące kroki, aby wymienić tajne dane wewnętrzne:

Uruchom następujący skrypt programu PowerShell. W przypadku wewnętrznej rotacji tajnych danych, sekcja "Run Secret Rotation" używa wyłącznie parametru -Internal podczas użycia polecenia cmdlet Start-SecretRotation:

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

Po pomyślnym zakończeniu konsola wyświetli komunikat ActionPlanInstanceID ... CurrentStatus: Completed, a następnie Action plan finished with status: 'Completed'.
Uwaga

Jeśli rotacja tajnego wpisu zakończy się niepowodzeniem, postępuj zgodnie z instrukcjami w wiadomości o błędzie i ponownie uruchom Start-SecretRotation z parametrami -Internal i -ReRun.
```
Start-SecretRotation -Internal -ReRun
```
Skontaktuj się z pomocą techniczną, jeśli wystąpią powtarzające się błędy rotacji kluczy.

Rotacja certyfikatu głównego usługi Azure Stack Hub

Certyfikat główny Azure Stack Hub jest aprowizowany podczas wdrażania z pięcioletnim terminem ważności. Począwszy od wersji 2108, wewnętrzna rotacja wpisów tajnych również obraca certyfikat główny. Standardowy alert wygaśnięcia wpisu tajnego identyfikuje wygaśnięcie certyfikatu głównego i generuje alerty w ciągu 90 (ostrzeżenie) i 30 (krytycznych) dni.

Aby obrócić certyfikat główny, należy zaktualizować system do wersji 2108 i przeprowadzić rotację kluczy wewnętrznych.

W poniższym przykładzie użyto uprzywilejowanego punktu końcowego, aby wyświetlić datę wygaśnięcia certyfikatu głównego:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub root certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Zaktualizuj poświadczenie BMC

Kontroler zarządzania płytą główną monitoruje stan fizyczny serwerów. Skontaktuj się z dostawcą sprzętu OEM, aby uzyskać instrukcje dotyczące aktualizowania nazwy konta użytkownika i hasła BMC.

Uwaga

Twój producent OEM może dostarczać dodatkowe aplikacje zarządzające. Aktualizowanie nazwy użytkownika lub hasła dla innych aplikacji zarządzania nie ma wpływu na nazwę użytkownika lub hasło BMC.

Zaktualizuj kontroler BMC na serwerach fizycznych usługi Azure Stack Hub, postępując zgodnie z instrukcjami producenta OEM. Nazwa użytkownika i hasło dla każdego kontrolera BMC w danym środowisku muszą być takie same. Nazwy użytkowników kontrolera BMC nie mogą przekraczać 16 znaków.

Nie jest już wymagane, aby najpierw zaktualizować poświadczenia BMC na serwerach fizycznych Azure Stack Hub, postępując zgodnie z instrukcjami producenta OEM. Nazwa użytkownika i hasło dla każdego BMC w środowisku muszą być takie same i nie mogą przekraczać 16 znaków.

Otwórz uprzywilejowany punkt końcowy w sesjach usługi Azure Stack Hub. Aby uzyskać instrukcje, zobacz Using the privileged endpoint in Azure Stack Hub (Korzystanie z uprzywilejowanego punktu końcowego w usłudze Azure Stack Hub).

Po otwarciu sesji uprzywilejowanego punktu końcowego uruchom jeden z poniższych skryptów programu PowerShell, które używają Invoke-Command do uruchomienia Set-BmcCredential. Jeśli używasz opcjonalnego parametru -BypassBMCUpdate z Set-BMCCredential, poświadczenia w BMC nie są aktualizowane; aktualizowany jest tylko wewnętrzny magazyn danych Azure Stack Hub. Przekaż zmienną sesji uprzywilejowanego endpointu jako parametr.

Oto przykładowy skrypt programu PowerShell, który wyświetli monit o podanie nazwy użytkownika i hasła:

# Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Możesz również zakodować nazwę użytkownika i hasło w zmiennych, co może być mniej bezpieczne:

# Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Dokumentacja: polecenie cmdlet Start-SecretRotation

Cmdlet Start-SecretRotation rotuje tajne dane infrastruktury systemu Azure Stack Hub. Ten cmdlet można wykonać tylko na uprzywilejowanym punkcie końcowym usługi Azure Stack Hub, używając bloku skryptu Invoke-Command i przekazując sesję PEP w parametrze -Session. Domyślnie obraca tylko certyfikaty wszystkich punktów końcowych infrastruktury sieci zewnętrznej.

Parametr	Typ	Wymagane	Pozycja	Domyślny	opis
`PfxFilesPath`	String	Fałsz	Nazwany	Brak	Ścieżka udziału plików do folderu głównego \Certificates, który zawiera wszystkie certyfikaty punktów końcowych zewnętrznej sieci. Wymagane tylko przy zmianie zewnętrznych tajemnic. Ścieżka musi kończyć się folderem \Certificates, na przykład \\<AdresIP>\<NazwaUdostępnienia>\Certificates.
`CertificatePassword`	SecureString	Fałsz	O nazwie	Brak	Hasło dla wszystkich certyfikatów podanych w -PfXFilesPath. Wymagana wartość, jeśli parametr PfxFilesPath jest udostępniany podczas rotacji wpisów tajnych zewnętrznych.
`Internal`	String	Fałsz	Zatytułowany	Brak	Flaga wewnętrzna musi być używana zawsze, gdy operator usługi Azure Stack Hub chce zmieniać wewnętrzne tajne informacje infrastruktury.
`PathAccessCredential`	PsCredential	Fałsz	Nazwany	Brak	Poświadczenie programu PowerShell dla zasobu plików w katalogu \Certificates, który zawiera wszystkie certyfikaty dla zewnętrznych punktów końcowych sieci. Wymagane tylko w przypadku obrotu zewnętrznych sekretów.
`ReRun`	Parametr przełącznika	Fałsz	Nazwany	Brak	Należy używać w dowolnym momencie ponownego obrotu wpisu tajnego po nieudanej próbie.

Składnia

W przypadku rotacji zewnętrznych sekretów

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Do wewnętrznej rotacji tajnych informacji

Start-SecretRotation [-Internal]

W przypadku ponownego przeprowadzenia zewnętrznej rotacji sekretów

Start-SecretRotation [-ReRun]

Aby ponownie wykonać wewnętrzną rotację tajemnic

Start-SecretRotation [-ReRun] [-Internal]

Przykłady

Obracaj tylko wewnętrzne tajemnice infrastruktury

To polecenie musi być uruchamiane za pośrednictwem uprzywilejowanego punktu końcowego środowiska usługi Azure Stack Hub.

Start-SecretRotation -Internal

To polecenie rotuje wszystkie tajne dane infrastruktury ujawnione w sieci wewnętrznej Azure Stack Hub.

Zmieniać tylko tajne dane infrastruktury zewnętrznej

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

To polecenie obraca certyfikaty TLS używane dla zewnętrznych punktów końcowych infrastruktury sieci usługi Azure Stack Hub.

Następne kroki

Dowiedz się więcej o zabezpieczeniach usługi Azure Stack Hub

Udostępnij za pośrednictwem