Partager via

Effectuer la rotation des secrets dans Azure Stack Hub

  • Article

Cet article fournit des instructions pour effectuer la rotation des secrets, afin de maintenir une communication sécurisée avec les ressources et services de l’infrastructure Azure Stack Hub.

Vue d'ensemble

Azure Stack Hub utilise des secrets pour maintenir une communication sécurisée avec les ressources et services d’infrastructure. Pour maintenir l’intégrité de l’infrastructure Azure Stack Hub, les opérateurs doivent pouvoir effectuer une rotation des secrets à une fréquence conforme aux exigences de sécurité de leur organisation.

Lorsque les secrets approchent de leur date d’expiration, les alertes suivantes sont générées dans le portail administrateur. La rotation des secrets permet de résoudre les alertes suivantes :

  • Pending service account password expiration (Expiration imminente du mot de passe du compte de service)
  • Pending internal certificate expiration (Expiration imminente du certificat interne)
  • Pending external certificate expiration (Expiration imminente du certificat externe)

Avertissement

Il y a 2 phases d’alertes déclenchées dans le portail d’administration avant l’expiration :

  • 90 jours avant l’expiration, une alerte d’avertissement est générée.
  • 30 jours avant l’expiration, une alerte critique est générée.

Il est primordial que vous terminiez la rotation des secrets si vous recevez ces notifications. Dans le cas contraire, vous risquez de provoquer la perte de charges de travail et le redéploiement d’Azure Stack Hub à vos frais.

Pour plus d’informations sur la surveillance et la correction des alertes, consultez Surveiller l’intégrité et les alertes dans Azure Stack Hub.

Remarque

Des environnements Azure Stack Hub sur des versions antérieures à la version 1811 peuvent afficher des alertes relatives à des expirations imminentes de certificat ou de secret internes. Ces alertes sont incorrectes. Vous pouvez donc les ignorer sans exécuter la rotation des secrets internes. Les alertes d’expiration incorrectes des secrets internes sont un problème connu, résolu dans la version 1811. Les secrets internes n’expirent pas tant que l’environnement n’a pas été actif pendant deux ans.

Prérequis

  1. Il est vivement recommandé d’exécuter une version prise en charge d’Azure Stack Hub et d’appliquer le dernier correctif logiciel disponible pour la version d’Azure Stack Hub que votre instance exécute. Par exemple, si vous exécutez 2008, vérifiez que vous avez installé le dernier correctif logiciel disponible pour 2008.

    Important

    Pour les versions antérieures à la version 1811 :

    • Si une rotation des secrets a déjà été effectuée, vous devez effectuer une mise à jour vers la version 1811 ou une version ultérieure avant d’exécuter à nouveau une rotation des secrets. Une rotation des secrets doit être exécutée via le point de terminaison privilégié et nécessite les informations d’identification de l’opérateur Azure Stack Hub. Si vous ignorez si une rotation des secrets a été exécutée sur votre environnement, effectuez une mise à jour vers la version 1811 avant d’effectuer une rotation des secrets.
    • Vous n’avez pas besoin d’effectuer une rotation des secrets pour ajouter des certificats d’hôte d’extension. Suivez les instructions de l’article Préparer un hôte d’extension pour Azure Stack Hub pour ajouter des certificats d’hôte d’extension.

  2. Notifiez vos utilisateurs des opérations de maintenance planifiée. Planifiez les fenêtres de maintenance normale pendant les heures creuses, autant que possible. Les opérations de maintenance peuvent affecter les opérations du portail et les charges de travail des utilisateurs.

  3. Générez des demandes de signature de certificat pour Azure Stack Hub.

  4. Préparer des certificats PKI Azure Stack Hub.

  5. Pendant la rotation des secrets, les opérateurs remarqueront peut-être que des alertes s’ouvrent et se ferment automatiquement. Ce comportement est normal et les alertes peuvent être ignorées. Les opérateurs peuvent vérifier la validité de ces alertes à l’aide de la cmdlet PowerShell Test-AzureStack. Pour les opérateurs, à l’aide de System Center Operations Manager pour surveiller les systèmes Azure Stack Hub, le fait de placer un système en mode maintenance empêche ces alertes d’atteindre leurs systèmes ITSM. Toutefois, les alertes continueront d’arriver si le système Azure Stack Hub devient inaccessible.

Effectuer une rotation des secrets externes

Important

Rotation des secrets externes :

Cette section traite de la rotation des certificats utilisés pour sécuriser des services externes. Ces certificats sont fournis par l’opérateur Azure Stack Hub, pour les services suivants :

  • Portail administrateur
  • Portail public
  • Administrateur Azure Resource Manager
  • Global Azure Resource Manager
  • Administrateur Key Vault
  • Key Vault
  • Hôte d’extension d’administration
  • ACS (y compris stockage objet blob, table et file d’attente)
  • ADFS1
  • Graphique1
  • Registre de conteneurs2

1Applicable lors de l’utilisation des services fédérés Active Directory (ADFS).

2Applicable lors de l’utilisation de Azure Container Registry (ACR).

Préparation

Avant d’effectuer la rotation des secrets externes :

  1. Exécutez l’applet de commande PowerShell Test-AzureStack en utilisant le paramètre -group SecretRotationReadiness, pour confirmer que toutes les sorties de test sont intègres avant d’effectuer la rotation des secrets.

  2. Préparez un nouveau jeu de certificats externes de remplacement :

    • Le nouveau jeu doit répondre aux spécifications de certificat décrites dans la page Exigences de certificat d’infrastructure de clés publiques Azure Stack Hub.

    • Générez une demande de signature de certificat (CSR) à soumettre à votre autorité de certification. Suivez la procédure décrite dans Générer les demandes de signature de certificat, puis préparez les demandes en vue de les utiliser dans votre environnement Azure Stack Hub en procédant de la manière décrite dans Préparer des certificats d’infrastructure à clé publique. Azure Stack Hub prend en charge la rotation des secrets pour les certificats externes obtenus auprès d’une nouvelle autorité de certification dans les contextes suivants :

      Rotation depuis l’autorité de certification Rotation vers l’autorité de certification Prise en charge des versions Azure Stack Hub
      Auto-signé Enterprise 1903 et versions ultérieures
      Auto-signé Auto-signé Non pris en charge
      Auto-signé Public* 1803 et versions ultérieures
      Enterprise Entreprise 1803 et versions ultérieures, 1803-1903 si l’autorité de certification d’entreprise est la MÊME que celle utilisée lors du déploiement
      Enterprise Auto-signé Non pris en charge
      Enterprise Public* 1803 et versions ultérieures
      Public* Enterprise 1903 et versions ultérieures
      Public* Auto-signé Non pris en charge
      Public* Public* 1803 et versions ultérieures

      *Dans le cadre du programme de certification racine approuvé Windows.

    • Veillez à valider les certificats que vous préparez en suivant la procédure décrite dans Valider des certificats PKI.

    • Vérifiez que le mot de passe ne contient pas de caractères spéciaux, tels que $,*,#,@,or)`.

    • Vérifiez que le chiffrement PFX est TripleDES-SHA1. Si vous rencontrez un problème, voir Corriger les problèmes courants liés aux certificats d’infrastructure de clés publiques Azure Stack Hub.

  3. Stockez une sauvegarde des certificats utilisés pour la rotation dans un emplacement de sauvegarde sécurisé. Si votre rotation s’exécute puis échoue, remplacez les certificats dans le partage de fichiers par les copies de sauvegarde avant d’exécuter à nouveau la rotation. Conservez des copies de sauvegarde dans l’emplacement de sauvegarde sécurisé.

  4. Créez un partage de fichiers auquel vous pouvez accéder depuis les machines virtuelles ERCS. Le partage de fichiers doit être accessible en lecture et en écriture pour l’identité CloudAdmin.

  5. Ouvrez une console PowerShell ISE à partir d’un ordinateur sur lequel vous avez accès au partage de fichiers. Accédez à votre partage de fichiers afin de créer des répertoires dans lesquels placer vos certificats externes.

  6. Créez un dossier dans le partage de fichiers nommé Certificates. Dans le dossier certificats, créez un sous-dossier nommé AAD ou ADFS, en fonction du fournisseur d’identité utilisé par votre hub. Par exemple, .\Certificates\AAD ou .\Certificates\ADFS. Aucun autre dossier en dehors du dossier certificats et du sous-dossier du fournisseur d’identité ne doit être créé ici.

  7. Copiez le nouvel ensemble de certificats externes de remplacement créés à l’étape 2 dans le dossier .\Certificates\<IdentityProvider> créé à l’étape 6. Comme mentionné ci-dessus, votre sous-dossier de fournisseur d’identité doit être AAD ou ADFS. Assurez-vous que les autres noms d’objet (SAN) de vos certificats externes de remplacement suivent le cert.<regionName>.<externalFQDN> format spécifié dans les exigences de certificat d’infrastructure à clé publique (PKI) Azure Stack Hub.

    Voici un exemple de structure de dossiers pour le fournisseur d’identité Microsoft Entra :

        <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

*Applicable lors de l’utilisation de Azure Container Registry (ACR) pour Microsoft Entra ID et ADFS.

Notes

Si vous effectuez une rotation de certificats Container Registry externes, vous devez créer manuellement un Container Registry sous-dossier dans le sous-dossier du fournisseur d’identité. En outre, vous devez stocker le certificat .pfx correspondant dans ce sous-dossier créé manuellement.

Rotation

Pour effectuer une rotation des secrets externes, procédez comme suit :

  1. Utilisez le script PowerShell suivant pour effectuer la rotation des secrets. Le script requiert un accès à une session de point de terminaison privilégié (PEP). Vous accédez au point de terminaison privilégié via une session PowerShell à distance sur la machine virtuelle qui l’héberge. Si vous utilisez un système intégré, il existe trois instances du point de terminaison privilégié, chacune s’exécutant à l’intérieur d’une machine virtuelle (Prefix-ERCS01, Prefix-ERCS02 ou Prefix-ERCS03) sur des hôtes différents. Le script effectue les étapes suivantes :

    • Crée une session PowerShell avec le point de terminaison privilégié en utilisant le compte CloudAdmin, et stocke la session en tant que variable. Cette variable est utilisée en tant que paramètre à l’étape suivante.

    • Exécute la commande Invoke-Command en passant la variable de session PEP en tant que paramètre -Session.

    • Exécute Start-SecretRotation dans la session PEP, en utilisant les paramètres suivants. Pour plus d’informations, consultez la référence Start-SecretRotation :

      Paramètre Variable Description
      -PfxFilesPath $CertSharePath Chemin d’accès réseau à votre dossier racine de certificats, comme indiqué à l’étape 6 de la section Préparation, par exemple \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds objet PSCredential pour les informations d’identification pour l’accès au partage.
      -CertificatePassword $CertPassword Une chaîne sécurisée du mot de passe utilisée pour tous les fichiers de certificat pfx créés. 
    # Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

  2. La rotation des secrets externes prend environ une heure. Une fois l’opération terminée, votre console affiche un message ActionPlanInstanceID ... CurrentStatus: Completed, suivi de Action plan finished with status: 'Completed'. Supprimez vos certificats du partage créé dans la section Préparation, puis stockez-les à leur emplacement de sauvegarde sécurisé.

    Remarque

    En cas d’échec de la rotation des secrets, suivez les instructions figurant dans le message d’erreur, puis réexécutez Start-SecretRotation avec le paramètre -ReRun.

    Start-SecretRotation -ReRun

    Contactez le support si vous rencontrez des échecs répétés de rotation des secrets.

  3. Si vous le souhaitez, pour confirmer que tous les certificats externes ont fait l’objet d’une rotation, exécutez l’outil de validation Test-AzureStack à l’aide du script suivant :

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug

Effectuer une rotation des secrets internes

Les secrets internes incluent les certificats, mots de passe, chaînes sécurisées et clés utilisés par l’infrastructure Azure Stack Hub sans intervention de l’opérateur Azure Stack Hub. Une rotation de secret interne n’est requise que si vous soupçonnez que quelqu’un a été compromis, ou si vous avez reçu une alerte d’expiration.

Des déploiements antérieurs à la version 1811 peuvent afficher des alertes relatives à des expirations imminentes de secrets ou certificats internes. Ces alertes sont inexactes et doivent être ignorées. Il s’agit d’un problème connu résolu dans la version 1811.

Pour effectuer une rotation des secrets internes, effectuez les étapes suivantes :

  1. Exécutez le script PowerShell suivant. Notez que pour la rotation interne des secrets, la section « Exécuter la rotation des secrets » utilise uniquement le paramètre -Internal de l’applet de commande Start-SecretRotation :

    # Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

    Remarque

    Les versions antérieures à la version 1811 ne nécessitent pas l’indicateur -Internal.

  2. Une fois l’opération terminée, votre console affiche un message ActionPlanInstanceID ... CurrentStatus: Completed, suivi de Action plan finished with status: 'Completed'.

    Remarque

    En cas d’échec de la rotation des secrets, suivez les instructions dans le message d’erreur et réexécutez Start-SecretRotation avec les paramètres -Internal et -ReRun.

    Start-SecretRotation -Internal -ReRun

    Contactez le support si vous rencontrez des échecs répétés de rotation des secrets.

Faire pivoter le certificat racine Azure Stack Hub

Le certificat racine Azure Stack Hub est approvisionné pendant le déploiement avec une expiration de cinq ans. À compter de 2108, la rotation des secrets internes fait également pivoter le certificat racine. L’alerte d’expiration du secret standard identifie l’expiration du certificat racine et génère des alertes à 90 (avertissements) et 30 jours (critiques).

Pour faire pivoter le certificat racine, vous devez mettre à jour votre système vers 2108 et effectuer une rotation des secrets internes.

L’extrait de code suivant utilise le point de terminaison privilégié pour répertorier la date d’expiration du certificat racine :

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Mettre à jour les informations d’identification du contrôleur de gestion de la carte de base (BMC)

Le contrôleur de gestion de la carte de base (BMC) analyse l’état physique de vos serveurs. Pour des instructions sur la mise à jour du nom et du mot de passe du compte d’utilisateur du contrôleur BMC, contactez le fabricant d’ordinateurs OEM.

Remarque

Votre OEM peut fournir des applications de gestion supplémentaires. La mise à jour du nom d’utilisateur ou du mot de passe pour d’autres applications de gestion n’a aucun effet sur le nom d’utilisateur ou le mot de passe du contrôleur de gestion de la carte de base.

  1. Mettez à jour le contrôleur BMC sur les serveurs physiques Azure Stack Hub en suivant les instructions de votre fabricant OEM. Tous les contrôleurs BMC de votre environnement doivent avoir les mêmes nom et mot de passe d’utilisateur. Les noms d’utilisateur BMC ne peuvent pas dépasser 16 caractères.
  1. Il n’est plus nécessaire de commencer par mettre à jour les informations d’identification BMC sur les serveurs physiques Azure Stack Hub en suivant les instructions de votre fabricant OEM. Les nom d’utilisateur et mot de passe de chaque BMC dans votre environnement doivent être identiques, et ne peuvent pas dépasser 16 caractères.

  1. Ouvrez un point de terminaison privilégié dans des sessions Azure Stack Hub. Pour obtenir des instructions, voir Utilisation du point de terminaison privilégié dans Azure Stack Hub.

  2. Après avoir ouvert une session de point de terminaison privilégié, exécutez l’un des scripts PowerShell ci-dessous, qui utilisent Invoke-Command pour exécuter Set-BmcCredential. Si vous utilisez le paramètre facultatif -BypassBMCUpdate avec Set-BMCCredential, les informations d’identification dans le BMC ne sont pas mises à jour. Seul le magasin de données interne d’Azure Stack Hub est mis à jour. Passez la variable de session de votre point de terminaison privilégié en tant que paramètre.

    Voici un exemple de script PowerShell qui vous invite à entrer le nom d’utilisateur et le mot de passe :

    # Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

    Vous pouvez également encoder le nom d’utilisateur et le mot de passe dans des variables qui peuvent être moins sécurisées :

    # Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Référence : Cmdlet Start-SecretRotation

La cmdlet Start-SecretRotation effectue la rotation des secrets d’infrastructure d’un système Azure Stack Hub. Cette cmdlet ne peut être exécutée que sur le point de terminaison privilégié Azure Stack Hub, à l’aide d’un bloc de script Invoke-Command passant la session PEP dans le paramètre -Session. Par défaut, elle effectue uniquement la rotation des certificats de tous les points de terminaison de l’infrastructure réseau externe.

Paramètre Type Obligatoire Position Default Description
PfxFilesPath String False named None Le chemin d’accès au partage de fichiers pour le dossier racine \Certificates contenant tous les certificats de points de terminaison réseau externe. Uniquement requis lors de la rotation de secrets externes. Le chemin d’accès doit se terminer par le dossier \Certificates, par exemple \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword SecureString False named None Le mot de passe pour tous les certificats fournis dans le -PfXFilesPath. Valeur requise si PfxFilesPath est fourni lors de la rotation des secrets externes.
Internal String False named None L’indicateur interne doit être utilisé chaque fois qu’un opérateur Azure Stack Hub souhaite effectuer la rotation des secrets d’infrastructure internes.
PathAccessCredential PSCredential False named None Les informations d’identification PowerShell du partage de fichiers pour le répertoire \Certificates contenant tous les certificats de points de terminaison réseau externe. Uniquement requis lors de la rotation de secrets externes.
ReRun SwitchParameter False named None Doit être utilisé à chaque nouvelle tentative de rotation des secrets après un échec.

Syntaxe

Rotation des secrets externes

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Rotation des secrets internes

Start-SecretRotation [-Internal]

Réexécution de la rotation des secrets externes

Start-SecretRotation [-ReRun]

Réexécution de la rotation des secrets internes

Start-SecretRotation [-ReRun] [-Internal]

Exemples

Effectuer la rotation des secrets d’infrastructure internes uniquement

Cette commande doit être exécutée via le point de terminaison privilégié de votre environnement Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Cette commande effectue la rotation de tous les secrets de l’infrastructure exposés au réseau interne Azure Stack Hub.

Effectuer la rotation des secrets d’infrastructure externes uniquement

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Cette commande effectue la rotation des certificats TLS utilisés pour les points de terminaison de l’infrastructure réseau externe d’Azure Stack Hub.

Effectuer la rotation des secrets d’infrastructure internes et externes (avant la mise à jour 1811 uniquement)

Important

Cette commande s’applique uniquement aux versions d’Azure Stack Hub antérieures à la version 1811 car la rotation a été fractionnée pour les certificats internes et externes.

Depuis la mise à jour 1811+ , vous ne pouvez plus faire pivoter des certificats internes et externes.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Cette commande effectue la rotation des secrets d’infrastructure exposés au réseau interne Azure Stack Hub, ainsi que des certificats TLS utilisés pour les points de terminaison de l’infrastructure réseau externe d’Azure Stack Hub. Start-SecretRotation effectue la rotation de tous les secrets générés par la pile, et comme des certificats sont fournis, la rotation des certificats de points de terminaison externes sera également effectuée.

Étapes suivantes

En savoir plus sur la sécurité dans Azure Stack Hub