Az Azure Stack Hub titkos kulcsainak rotálása

Ez a cikk útmutatást nyújt a titkos kódok rotálásának végrehajtásához az Azure Stack Hub-infrastruktúra erőforrásaival és szolgáltatásaival való biztonságos kommunikáció fenntartásához.

Áttekintés

Az Azure Stack Hub titkos kódokat használ az infrastruktúra-erőforrásokkal és -szolgáltatásokkal való biztonságos kommunikáció fenntartásához. Az Azure Stack Hub-infrastruktúra integritásának fenntartása érdekében az operátoroknak képesnek kell lenniük a titkos kódok olyan gyakoriságú elforgatására, amely összhangban van a szervezet biztonsági követelményeivel.

Amikor a titkos kódok hamarosan lejárnak, a következő riasztások jönnek létre a rendszergazdai portálon. A titkos kódok rotálásának befejezése a következő riasztásokat oldja fel:

• Függőben lévő szolgáltatásfiók jelszólejárata
• Belső tanúsítvány lejárata miatt függőben
• Külső tanúsítvány lejárata miatt függőben

Figyelmeztetés

A riasztások 2 fázisa aktiválódik a rendszergazdai portálon a lejárat előtt:

• A lejárat előtt 90 nappal figyelmeztető riasztás jön létre.
• 30 nappal a lejárat előtt kritikus riasztás jön létre.

Ha ezeket az értesítéseket kapja, fontos , hogy elvégezze a titkos kulcsok rotálását. Ennek elmulasztása a számítási feladatok elvesztését és az Azure Stack Hub esetleges újbóli üzembe helyezését okozhatja saját költségén!

A riasztások figyelésével és szervizelésével kapcsolatos további információkért lásd: Állapot és riasztások monitorozása az Azure Stack Hubban.

Előfeltételek

1. Erősen ajánlott, hogy az Azure Stack Hub támogatott verzióját futtassa, és alkalmazza a legújabb elérhető gyorsjavítást a példány által futtatott Azure Stack Hub-verzióra. Ha például a 2008-et futtatja, győződjön meg arról, hogy telepítette a 2008-ra elérhető legújabb gyorsjavítást.

2. Értesítse a felhasználókat a tervezett karbantartási műveletekről. A normál karbantartási időszakok ütemezése, amennyire csak lehetséges, munkaidőn kívüli időszakokban. A karbantartási műveletek hatással lehetnek a felhasználói számítási feladatokra és a portálműveletekre is.

3. Tanúsítvány-aláírási kérések létrehozása az Azure Stack Hubhoz.

4. Azure Stack Hub PKI-tanúsítványok előkészítése.

5. A titkos kódok rotálása során az operátorok észrevehetik, hogy a riasztások nyitva vannak, és automatikusan bezárulnak. Ez a viselkedés elvárt, a riasztások így figyelmen kívül hagyhatók. Az operátorok a Test-AzureStack PowerShell parancsmaggal ellenőrizhetik a riasztások érvényességét. Az operátorok számára, ha a System Center Operations Manager használatával figyelik az Azure Stack Hub-rendszereket, a rendszer karbantartási módba helyezése megakadályozza, hogy ezek a riasztások elérjék az ITSM-rendszereiket. A riasztások azonban továbbra is megjelennek, ha az Azure Stack Hub-rendszer elérhetetlenné válik.

Külső titkos kódok elforgatása

Fontos

Külső titkos kód rotálása a következőhöz:

• A nem tanúsítványtitkokat, például a biztonságos kulcsokat és a sztringeket a rendszergazdának manuálisan kell elvégeznie. Ide tartoznak a felhasználói és rendszergazdai fiók jelszavai, valamint a hálózati kapcsoló jelszavai.
• Az érték hozzáadása erőforrás-szolgáltatói (RP-) titkos kódokat külön útmutató tartalmazza:
  • App Service az Azure Stack Hubon
  • Event Hubs az Azure Stack Hubon
  • MySQL az Azure Stack Hubon
  • SQL az Azure Stack Hubon
• Az alaplapi felügyeleti vezérlő (BMC) hitelesítő adatai egy manuális folyamat, amelyről a cikk későbbi részében olvashat.
• Azure Container Registry külső tanúsítványok egy manuális folyamat, amelyről a cikk későbbi részében olvashat.

Ez a szakasz a külső szolgáltatások biztonságossá tételéhez használt tanúsítványok rotálását ismerteti. Ezeket a tanúsítványokat az Azure Stack Hub operátora biztosítja a következő szolgáltatásokhoz:

• Rendszergazdai portál
• Nyilvános portál
• Rendszergazdai Azure Resource Manager
• Globális Azure-Resource Manager
• Rendszergazdai Key Vault
• Key Vault
• Rendszergazda bővítménygazda
• ACS (beleértve a blobot, a táblát és az üzenetsortárat)
• ADFS¹
• ^{1. grafikon}
• Tárolóregisztrációs adatbázis²

¹Az Active Directory összevont szolgáltatások (ADFS) használatakor alkalmazható.

²A Azure Container Registry (ACR) használatakor alkalmazható.

Előkészítés

A külső titkos kódok rotálása előtt:

1. Futtassa a Test-AzureStack PowerShell-parancsmagot a paraméterrel annak ellenőrzéséhez, hogy az -group SecretRotationReadiness összes tesztkimenet kifogástalan-e a titkos kódok elforgatása előtt.

2. Készítse elő a helyettesítő külső tanúsítványok új készletét:

   • Az új készletnek meg kell egyeznie az Azure Stack Hub PKI tanúsítványkövetelményeiben ismertetett tanúsítványspecifikációkkal.

   • Hozzon létre egy tanúsítvány-aláírási kérést (CSR) a hitelesítésszolgáltatónak (CA) való elküldéséhez. A PKI-tanúsítványok előkészítése című témakörben ismertetett lépéseket követve készítse elő őket az Azure Stack Hub-környezetben való használatra. Az Azure Stack Hub az alábbi környezetekben támogatja az új hitelesítésszolgáltatótól (CA) származó külső tanúsítványok titkos kulcsainak rotálását:

     Forgatás hitelesítésszolgáltatóról	Forgatás hitelesítésszolgáltatóra	Az Azure Stack Hub verziótámogatása
     Self-Signed	Enterprise	1903 & későbbi
     Self-Signed	Self-Signed	Nem támogatott
     Self-Signed	Nyilvános*	1803 & később
     Enterprise	Enterprise	1803 & későbbi; 1803–1903, ha az üzembe helyezéskor használt vállalati hitelesítésszolgáltatóval azonos
     Enterprise	Self-Signed	Nem támogatott
     Enterprise	Nyilvános*	1803 & később
     Nyilvános*	Enterprise	1903 & későbbi
     Nyilvános*	Self-Signed	Nem támogatott
     Nyilvános*	Nyilvános*	1803 & későbbi

     ^*A Windows megbízható legfelső szintű programjának része.

   • Mindenképpen ellenőrizze az előkészítendő tanúsítványokat a PKI-tanúsítványok érvényesítése című témakörben ismertetett lépésekkel

   • Győződjön meg arról, hogy nincsenek speciális karakterek a jelszóban, például $:*,,@#,or)".

   • Győződjön meg arról, hogy a PFX-titkosítás TripleDES-SHA1. Ha problémába ütközik, tekintse meg az Azure Stack Hub PKI-tanúsítványokkal kapcsolatos gyakori problémák kijavítása című témakört.

3. Biztonságos biztonsági mentési helyen tárolhatja a rotációhoz használt tanúsítványok biztonsági másolatát. Ha a rotáció fut, majd sikertelen lesz, cserélje le a fájlmegosztásban lévő tanúsítványokat a biztonsági másolatokra, mielőtt újrafuttatja a rotációt. Őrizze meg a biztonsági másolatokat a biztonságos biztonsági mentési helyen.

4. Hozzon létre egy fájlmegosztást, amely az ERCS virtuális gépekről érhető el. A fájloknak olvashatónak és írhatónak kell lenniük a CloudAdmin-identitáshoz .

5. Nyisson meg egy PowerShell ISE-konzolt egy olyan számítógépről, amelyen hozzáféréssel rendelkezik a fájlmegosztáshoz. Nyissa meg a fájlmegosztást, ahol könyvtárakat hoz létre a külső tanúsítványok elhelyezéséhez.

6. Hozzon létre egy mappát a nevű Certificatesfájlmegosztásban. A tanúsítványok mappájában hozzon létre egy vagy ADFSnevű AAD almappát a központ által használt identitásszolgáltatótól függően. Például : .\Certificates\AAD vagy .\Certificates\ADFS. A tanúsítványok mappán és az identitásszolgáltatói almappán kívül itt nem lehet más mappákat létrehozni.

7. Másolja a 2. lépésben létrehozott új külső tanúsítványkészletet a 6. lépésben létrehozott .\Certificates\<IdentityProvider> mappába. Ahogy fentebb említettük, az identitásszolgáltató almappának vagy vagy ADFS.AAD Győződjön meg arról, hogy a helyettesítő külső tanúsítványok tulajdonos alternatív nevei (SAN-k) megfelelnek az cert.<regionName>.<externalFQDN>Azure Stack Hub nyilvános kulcsú infrastruktúra (PKI) tanúsítványkövetelményeiben megadott formátumnak.

   Íme egy példa a Microsoft Entra identitásszolgáltató mappastruktúrájára:

       <ShareName>
           │
           └───Certificates
                 └───AAD
                     ├───ACSBlob
                     │       <CertName>.pfx
                     │
                     ├───ACSQueue
                     │       <CertName>.pfx
                     │
                     ├───ACSTable
                     │       <CertName>.pfx
                     │
                     ├───Admin Extension Host
                     │       <CertName>.pfx
                     │
                     ├───Admin Portal
                     │       <CertName>.pfx
                     │
                     ├───ARM Admin
                     │       <CertName>.pfx
                     │
                     ├───ARM Public
                     │       <CertName>.pfx
                     │
                     ├───Container Registry*
                     │       <CertName>.pfx
                     │
                     ├───KeyVault
                     │       <CertName>.pfx
                     │
                     ├───KeyVaultInternal
                     │       <CertName>.pfx
                     │
                     ├───Public Extension Host
                     │       <CertName>.pfx
                     │
                     └───Public Portal
                             <CertName>.pfx
   

^*A Azure Container Registry (ACR) Microsoft Entra id és ADFS esetén alkalmazható.

Megjegyzés

Ha külső Container Registry-tanúsítványokat forgat, manuálisan létre kell hoznia egy Container Registry almappát az identitásszolgáltató almappájában. Emellett a megfelelő .pfx-tanúsítványt ebben a manuálisan létrehozott almappában kell tárolnia.

Változtatás

A külső titkos kulcsok elforgatásához hajtsa végre az alábbi lépéseket:

1. A titkos kulcsok elforgatásához használja az alábbi PowerShell-szkriptet. A szkriptnek hozzáférésre van szüksége egy Privileged EndPoint-munkamenethez (PEP). A PEP a PEP-t futtató virtuális gépen (VM) egy távoli PowerShell-munkameneten keresztül érhető el. Ha integrált rendszert használ, a PEP három példánya fut egy virtuális gépen (Prefix-ERCS01, Prefix-ERCS02 vagy Prefix-ERCS03) különböző gazdagépeken. A szkript a következő lépéseket hajtja végre:

   • Létrehoz egy PowerShell-munkamenetet a Privileged végponttal a CloudAdmin-fiókkal , és változóként tárolja a munkamenetet. Ezt a változót a rendszer a következő lépésben paraméterként használja.

   • Futtatja az Invoke-Command parancsot, és paraméterként átadja a PEP-munkamenet változóját -Session .

   • A PEP-munkamenetben fut Start-SecretRotation az alábbi paraméterekkel. További információ: Start-SecretRotation referencia:

     Paraméter	Változó	Leírás
     -PfxFilesPath	$CertSharePath	A tanúsítványok gyökérmappájának hálózati elérési útja az Előkészítés szakasz 6. lépésében leírtak szerint, például \\<IPAddress>\<ShareName>\Certificates: .
     -PathAccessCredential	$CertShareCreds	A megosztáshoz tartozó hitelesítő adatok PSCredential objektuma.
     -CertificatePassword	$CertPassword	A létrehozott pfx-tanúsítványfájlokhoz használt jelszó biztonságos sztringje.

   # Create a PEP session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run secret rotation
   $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
   $CertShareCreds = Get-Credential
   $CertSharePath = "<Network_Path_Of_CertShare>"
   Invoke-Command -Session $PEPsession -ScriptBlock {
       param($CertSharePath, $CertPassword, $CertShareCreds )
       Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
   } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
   Remove-PSSession -Session $PEPSession
   

2. A külső titkos kódok rotálása körülbelül egy órát vesz igénybe. A sikeres végrehajtás után a konzol megjelenít egy ActionPlanInstanceID ... CurrentStatus: Completed üzenetet, majd a következőt: Action plan finished with status: 'Completed'. Távolítsa el a tanúsítványokat az Előkészítés szakaszban létrehozott megosztásból, és tárolja őket a biztonságos biztonsági mentési helyen.

   Megjegyzés

   Ha a titkos kódok rotálása sikertelen, kövesse a hibaüzenetben található utasításokat, és futtassa Start-SecretRotation újra a -ReRun paraméterrel.

   Start-SecretRotation -ReRun
   

   Ha ismétlődő titkos kulcsrotálási hibákat tapasztal, forduljon az ügyfélszolgálathoz.

3. Ha szeretné ellenőrizni, hogy az összes külső tanúsítványt elforgatták-e, futtassa a Test-AzureStack érvényesítő eszközt a következő szkripttel:

   Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
   

Belső titkos kulcsok elforgatása

A belső titkos kulcsok az Azure Stack Hub-infrastruktúra által az Azure Stack Hub operátorának közreműködése nélkül használt tanúsítványok, jelszavak, biztonságos sztringek és kulcsok lehetnek. A belső titkos kulcsok leváltására csak akkor van szükség, ha azt gyanítja, hogy sérült valamelyiknek a biztonsága, vagy a kulcs lejáratára figyelmeztető riasztást kapott.

A belső titkos kulcsok elforgatásához hajtsa végre az alábbi lépéseket:

1. Futtassa a következő PowerShell-szkriptet. Figyelje meg, hogy a titkos kulcsok belső rotálása esetén a "Titkos kulcs rotálása" szakasz csak a -InternalStart-SecretRotation parancsmag paraméterét használja:

   # Create a PEP Session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run Secret Rotation
   Invoke-Command -Session $PEPSession -ScriptBlock {
       Start-SecretRotation -Internal
   }
   Remove-PSSession -Session $PEPSession
   

2. A sikeres végrehajtás után a konzol megjelenít egy ActionPlanInstanceID ... CurrentStatus: Completed üzenetet, majd a következőt: Action plan finished with status: 'Completed'.

   Megjegyzés

   Ha a titkos kulcsok leváltása meghiúsul, kövesse a hibaüzenetben található utasításokat, és futtassa ismét a Start-SecretRotation parancsot az -Internal és -ReRun paraméterekkel.

   Start-SecretRotation -Internal -ReRun
   

   Ha ismétlődő titkos kulcsrotálási hibákat tapasztal, forduljon az ügyfélszolgálathoz.

Az Azure Stack Hub főtanúsítványának rotálása

Az Azure Stack Hub főtanúsítványa az üzembe helyezés során lesz kiépítve öt év lejárati idővel. A 2108-tól kezdődően a belső titkos kulcs rotálása a főtanúsítványt is elforgatja. A standard titkos kód lejárati riasztása azonosítja a főtanúsítvány lejáratát, és riasztásokat hoz létre 90 (figyelmeztetés) és 30 (kritikus) napon.

A főtanúsítvány elforgatásához frissítenie kell a rendszert 2108-ra, és belső titkos kulcsok rotálását kell végrehajtania.

A következő kódrészlet a Privileged Endpoint használatával listázja a főtanúsítvány lejárati dátumát:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

A BMC hitelesítő adatainak frissítése

Az alaplapi felügyeleti vezérlő figyeli a kiszolgálók fizikai állapotát. A BMC felhasználói fiókjának nevének és jelszavának frissítésére vonatkozó utasításokért tekintse meg az eredeti hardvergyártó (OEM) hardvergyártóját.

Megjegyzés

Előfordulhat, hogy az OEM további felügyeleti alkalmazásokat biztosít. Más felügyeleti alkalmazások felhasználónevének vagy jelszavának frissítése nincs hatással a BMC-felhasználónévre vagy -jelszóra.

1. Már nincs szükség arra, hogy először frissítse a BMC hitelesítő adatait az Azure Stack Hub fizikai kiszolgálóin az OEM-utasítások követésével. A környezet minden BMC-jének felhasználóneve és jelszava azonosnak kell lennie, és nem haladhatja meg a 16 karaktert.

2. Nyisson meg egy emelt szintű végpontot az Azure Stack Hub-munkamenetekben. Útmutatásért lásd : A kiemelt végpont használata az Azure Stack Hubban.

3. Egy emelt szintű végponti munkamenet megnyitása után futtassa az alábbi PowerShell-szkriptek egyikét, amelyek a Set-BmcCredential futtatásához Invoke-Command használják. Ha az opcionális -BypassBMCUpdate paramétert a Set-BMCCredential paraméterrel használja, a BMC hitelesítő adatai nem frissülnek. Csak az Azure Stack Hub belső adattára frissül. Adja át a kiemelt végpont munkamenet-változóját paraméterként.

   Íme egy példa PowerShell-szkriptre, amely felhasználónevet és jelszót kér:

   # Interactive Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
   $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
   $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

   A felhasználónevet és a jelszót változókban is kódolhatja, ami kevésbé biztonságos lehet:

   # Static Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
   $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
   $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
   $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
   $NewBmcUser = "<New BMC User name>"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

Hivatkozás: Start-SecretRotation parancsmag

A Start-SecretRotation parancsmag elforgatja egy Azure Stack Hub-rendszer infrastruktúrakulcsait. Ez a parancsmag csak az Azure Stack Hub emelt szintű végponton hajtható végre egy Invoke-Command szkriptblokk használatával, amely átadja a PEP-munkamenetet a -Session paraméterben. Alapértelmezés szerint csak az összes külső hálózati infrastruktúra-végpont tanúsítványait forgatja el.

Paraméter	Típus	Kötelező	Pozíció	Alapértelmezett	Description
PfxFilesPath	Sztring	Hamis	Nevezett	None	A \Certificates gyökérmappájának fájlmegosztási útvonala , amely az összes külső hálózati végponti tanúsítványt tartalmazza. Csak külső titkos kulcsok rotálása esetén szükséges. Az elérési útnak \Certificates mappával kell végződnie, például \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword	SecureString	Hamis	Nevezett	None	A -PfXFilesPath fájlban megadott összes tanúsítvány jelszava. Kötelező érték, ha a PfxFilesPath a külső titkos kulcsok elforgatásakor van megadva.
Internal	Sztring	Hamis	Nevezett	None	A belső jelzőt akkor kell használni, amikor egy Azure Stack Hub-operátor el szeretné forgatni a belső infrastruktúra titkos kulcsait.
PathAccessCredential	PSCredential	Hamis	Nevezett	None	A \Certificates könyvtár fájlhasználatának PowerShell-hitelesítő adatai, amely tartalmazza az összes külső hálózati végponti tanúsítványt. Csak külső titkos kulcsok rotálása esetén szükséges.
ReRun	Kapcsolóparaméter	Hamis	Nevezett	None	Akkor kell használni, ha a titkos kulcsok rotációja egy sikertelen kísérlet után újra meg van szokva.

Syntax

Külső titkos kulcsok rotálása

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Belső titkos kulcsok rotálása

Start-SecretRotation [-Internal]  

Külső titkos kulcs rotálásának újrafuttatása

Start-SecretRotation [-ReRun]

Belső titkos kulcsok rotálásának újrafuttatása

Start-SecretRotation [-ReRun] [-Internal]

Példák

Csak a belső infrastruktúra titkos kulcsának elforgatása

Ezt a parancsot az Azure Stack Hub-környezet kiemelt végpontján keresztül kell futtatni.

PS C:\> Start-SecretRotation -Internal

Ez a parancs elforgatja az Azure Stack Hub belső hálózatának közzétett összes infrastruktúra-titkos kódot.

Csak a külső infrastruktúra titkos kulcsának elforgatása

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Ez a parancs elforgatja az Azure Stack Hub külső hálózati infrastruktúrájának végpontjaihoz használt TLS-tanúsítványokat.

Következő lépések

További információ az Azure Stack Hub biztonságáról