Megosztás a következőn keresztül:

Az Azure Stack Hub titkos kulcsainak rotálása

  • Cikk

Ez a cikk útmutatást nyújt a titkos kódok rotálásának végrehajtásához az Azure Stack Hub-infrastruktúra erőforrásaival és szolgáltatásaival való biztonságos kommunikáció fenntartásához.

Áttekintés

Az Azure Stack Hub titkos kódokat használ az infrastruktúra-erőforrásokkal és -szolgáltatásokkal való biztonságos kommunikáció fenntartásához. Az Azure Stack Hub-infrastruktúra integritásának fenntartása érdekében az operátoroknak képesnek kell lenniük a titkos kódok olyan gyakoriságú elforgatására, amely összhangban van a szervezet biztonsági követelményeivel.

Amikor a titkos kódok hamarosan lejárnak, a következő riasztások jönnek létre a rendszergazdai portálon. A titkos kódok rotálásának befejezése a következő riasztásokat oldja fel:

  • Függőben lévő szolgáltatásfiók jelszólejárata
  • Belső tanúsítvány lejárata miatt függőben
  • Külső tanúsítvány lejárata miatt függőben

Figyelmeztetés

A riasztások 2 fázisa aktiválódik a rendszergazdai portálon a lejárat előtt:

  • A lejárat előtt 90 nappal figyelmeztető riasztás jön létre.
  • 30 nappal a lejárat előtt kritikus riasztás jön létre.

Ha ezeket az értesítéseket kapja, fontos , hogy elvégezze a titkos kulcsok rotálását. Ennek elmulasztása a számítási feladatok elvesztését és az Azure Stack Hub esetleges újbóli üzembe helyezését okozhatja saját költségén!

A riasztások figyelésével és szervizelésével kapcsolatos további információkért lásd: Állapot és riasztások monitorozása az Azure Stack Hubban.

Megjegyzés

Az 1811 előtti verziókban futó Azure Stack Hub-környezetek riasztásokat láthatnak a függőben lévő belső tanúsítványokról vagy titkos kódok lejáratáról. Ezek a riasztások pontatlanok, és a titkos kódok belső rotálása nélkül figyelmen kívül kell hagyni őket. Az 1811-ben megoldódott ismert probléma a belső titkos kód lejáratára vonatkozó pontatlan riasztások. A belső titkos kódok csak akkor járnak le, ha a környezet már két éve aktív.

Előfeltételek

  1. Erősen ajánlott, hogy az Azure Stack Hub támogatott verzióját futtassa, és alkalmazza a legújabb elérhető gyorsjavítást a példány által futtatott Azure Stack Hub-verzióra. Ha például a 2008-et futtatja, győződjön meg arról, hogy telepítette a 2008-ra elérhető legújabb gyorsjavítást.

    Fontos

    1811 előtti verziók esetén:

    • Ha a titkos kulcsok rotálása már megtörtént, frissítenie kell az 1811-es vagy újabb verzióra, mielőtt újra végrehajtja a titkos kulcsok rotálását. A titkos kulcsok rotálását a privileged végponton keresztül kell végrehajtani, és azure Stack Hub-operátori hitelesítő adatokra van szükség. Ha nem tudja, hogy a titkos kulcsok rotálása fut-e a környezetben, frissítsen az 1811-re a titkos kulcs rotálása előtt.
    • A bővítménygazdatanúsítványok hozzáadásához nem kell titkos kulcsokat elforgatnia. A bővítménygazdatanúsítványok hozzáadásához kövesse a Bővítménygazda előkészítése az Azure Stack Hubhoz című cikkben található utasításokat.

  2. Értesítse a felhasználókat a tervezett karbantartási műveletekről. A normál karbantartási időszakok ütemezése, amennyire csak lehetséges, munkaidőn kívüli időszakokban. A karbantartási műveletek hatással lehetnek a felhasználói számítási feladatokra és a portálműveletekre is.

  3. Tanúsítvány-aláírási kérések létrehozása az Azure Stack Hubhoz.

  4. Azure Stack Hub PKI-tanúsítványok előkészítése.

  5. A titkos kódok rotálása során az operátorok észrevehetik, hogy a riasztások nyitva vannak, és automatikusan bezárulnak. Ez a viselkedés elvárt, a riasztások így figyelmen kívül hagyhatók. Az operátorok a Test-AzureStack PowerShell parancsmaggal ellenőrizhetik a riasztások érvényességét. Az operátorok számára, ha a System Center Operations Manager használatával figyelik az Azure Stack Hub-rendszereket, a rendszer karbantartási módba helyezése megakadályozza, hogy ezek a riasztások elérjék az ITSM-rendszereiket. A riasztások azonban továbbra is megjelennek, ha az Azure Stack Hub-rendszer elérhetetlenné válik.

Külső titkos kódok elforgatása

Fontos

Külső titkos kód rotálása a következőhöz:

Ez a szakasz a külső szolgáltatások biztonságossá tételéhez használt tanúsítványok rotálását ismerteti. Ezeket a tanúsítványokat az Azure Stack Hub operátora biztosítja a következő szolgáltatásokhoz:

  • Rendszergazdai portál
  • Nyilvános portál
  • Rendszergazdai Azure Resource Manager
  • Globális Azure-Resource Manager
  • Rendszergazdai Key Vault
  • Key Vault
  • Rendszergazda bővítménygazda
  • ACS (beleértve a blobot, a táblát és az üzenetsortárat)
  • ADFS1
  • 1. grafikon
  • Tárolóregisztrációs adatbázis2

1Az Active Directory összevont szolgáltatások (ADFS) használatakor alkalmazható.

2A Azure Container Registry (ACR) használatakor alkalmazható.

Előkészítés

A külső titkos kódok rotálása előtt:

  1. Futtassa a Test-AzureStack PowerShell-parancsmagot a paraméterrel annak ellenőrzéséhez, hogy az -group SecretRotationReadiness összes tesztkimenet kifogástalan-e a titkos kódok elforgatása előtt.

  2. Készítse elő a helyettesítő külső tanúsítványok új készletét:

    • Az új készletnek meg kell egyeznie az Azure Stack Hub PKI tanúsítványkövetelményeiben ismertetett tanúsítványspecifikációkkal.

    • Hozzon létre egy tanúsítvány-aláírási kérést (CSR) a hitelesítésszolgáltatónak (CA) való elküldéséhez. A PKI-tanúsítványok előkészítése című témakörben ismertetett lépéseket követve készítse elő őket az Azure Stack Hub-környezetben való használatra. Az Azure Stack Hub az alábbi környezetekben támogatja az új hitelesítésszolgáltatótól (CA) származó külső tanúsítványok titkos kulcsainak rotálását:

      Forgatás hitelesítésszolgáltatóról Forgatás hitelesítésszolgáltatóra Az Azure Stack Hub verziótámogatása
      Self-Signed Enterprise 1903 & későbbi
      Self-Signed Self-Signed Nem támogatott
      Self-Signed Nyilvános* 1803 & később
      Enterprise Enterprise 1803 & későbbi; 1803–1903, ha az üzembe helyezéskor használt vállalati hitelesítésszolgáltatóval azonos
      Enterprise Self-Signed Nem támogatott
      Enterprise Nyilvános* 1803 & később
      Nyilvános* Enterprise 1903 & későbbi
      Nyilvános* Self-Signed Nem támogatott
      Nyilvános* Nyilvános* 1803 & későbbi

      *A Windows megbízható legfelső szintű programjának része.

    • Mindenképpen ellenőrizze az előkészítendő tanúsítványokat a PKI-tanúsítványok érvényesítése című témakörben ismertetett lépésekkel

    • Győződjön meg arról, hogy nincsenek speciális karakterek a jelszóban, például $:*,,@#,or)".

    • Győződjön meg arról, hogy a PFX-titkosítás TripleDES-SHA1. Ha problémába ütközik, tekintse meg az Azure Stack Hub PKI-tanúsítványokkal kapcsolatos gyakori problémák kijavítása című témakört.

  3. Biztonságos biztonsági mentési helyen tárolhatja a rotációhoz használt tanúsítványok biztonsági másolatát. Ha a rotáció fut, majd sikertelen lesz, cserélje le a fájlmegosztásban lévő tanúsítványokat a biztonsági másolatokra, mielőtt újrafuttatja a rotációt. Őrizze meg a biztonsági másolatokat a biztonságos biztonsági mentési helyen.

  4. Hozzon létre egy fájlmegosztást, amely az ERCS virtuális gépekről érhető el. A fájloknak olvashatónak és írhatónak kell lenniük a CloudAdmin-identitáshoz .

  5. Nyisson meg egy PowerShell ISE-konzolt egy olyan számítógépről, amelyen hozzáféréssel rendelkezik a fájlmegosztáshoz. Nyissa meg a fájlmegosztást, ahol könyvtárakat hoz létre a külső tanúsítványok elhelyezéséhez.

  6. Hozzon létre egy mappát a nevű Certificatesfájlmegosztásban. A tanúsítványok mappájában hozzon létre egy vagy ADFSnevű AAD almappát a központ által használt identitásszolgáltatótól függően. Például : .\Certificates\AAD vagy .\Certificates\ADFS. A tanúsítványok mappán és az identitásszolgáltatói almappán kívül itt nem lehet más mappákat létrehozni.

  7. Másolja a 2. lépésben létrehozott új külső tanúsítványkészletet a 6. lépésben létrehozott .\Certificates\<IdentityProvider> mappába. Ahogy fentebb említettük, az identitásszolgáltató almappának vagy vagy ADFS.AAD Győződjön meg arról, hogy a helyettesítő külső tanúsítványok tulajdonos alternatív nevei (SAN-k) megfelelnek az cert.<regionName>.<externalFQDN>Azure Stack Hub nyilvános kulcsú infrastruktúra (PKI) tanúsítványkövetelményeiben megadott formátumnak.

    Íme egy példa a Microsoft Entra identitásszolgáltató mappastruktúrájára:

        <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

*A Azure Container Registry (ACR) Microsoft Entra id és ADFS esetén alkalmazható.

Megjegyzés

Ha külső Container Registry-tanúsítványokat forgat, manuálisan létre kell hoznia egy Container Registry almappát az identitásszolgáltató almappájában. Emellett a megfelelő .pfx-tanúsítványt ebben a manuálisan létrehozott almappában kell tárolnia.

Változtatás

A külső titkos kulcsok elforgatásához hajtsa végre az alábbi lépéseket:

  1. A titkos kulcsok elforgatásához használja az alábbi PowerShell-szkriptet. A szkriptnek hozzáférésre van szüksége egy Privileged EndPoint-munkamenethez (PEP). A PEP a PEP-t futtató virtuális gépen (VM) egy távoli PowerShell-munkameneten keresztül érhető el. Ha integrált rendszert használ, a PEP három példánya fut egy virtuális gépen (Prefix-ERCS01, Prefix-ERCS02 vagy Prefix-ERCS03) különböző gazdagépeken. A szkript a következő lépéseket hajtja végre:

    • Létrehoz egy PowerShell-munkamenetet a Privileged végponttal a CloudAdmin-fiókkal , és változóként tárolja a munkamenetet. Ezt a változót a rendszer a következő lépésben paraméterként használja.

    • Futtatja az Invoke-Command parancsot, és paraméterként átadja a PEP-munkamenet változóját -Session .

    • A PEP-munkamenetben fut Start-SecretRotation az alábbi paraméterekkel. További információ: Start-SecretRotation referencia:

      Paraméter Változó Leírás
      -PfxFilesPath $CertSharePath A tanúsítványok gyökérmappájának hálózati elérési útja az Előkészítés szakasz 6. lépésében leírtak szerint, például \\<IPAddress>\<ShareName>\Certificates: .
      -PathAccessCredential $CertShareCreds A megosztáshoz tartozó hitelesítő adatok PSCredential objektuma.
      -CertificatePassword $CertPassword A létrehozott pfx-tanúsítványfájlokhoz használt jelszó biztonságos sztringje. 
    # Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

  2. A külső titkos kódok rotálása körülbelül egy órát vesz igénybe. A sikeres végrehajtás után a konzol megjelenít egy ActionPlanInstanceID ... CurrentStatus: Completed üzenetet, majd a következőt: Action plan finished with status: 'Completed'. Távolítsa el a tanúsítványokat az Előkészítés szakaszban létrehozott megosztásból, és tárolja őket a biztonságos biztonsági mentési helyen.

    Megjegyzés

    Ha a titkos kódok rotálása sikertelen, kövesse a hibaüzenetben található utasításokat, és futtassa Start-SecretRotation újra a -ReRun paraméterrel.

    Start-SecretRotation -ReRun

    Ha ismétlődő titkos kulcsrotálási hibákat tapasztal, forduljon az ügyfélszolgálathoz.

  3. Ha szeretné ellenőrizni, hogy az összes külső tanúsítványt elforgatták-e, futtassa a Test-AzureStack érvényesítő eszközt a következő szkripttel:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug

Belső titkos kulcsok elforgatása

A belső titkos kulcsok az Azure Stack Hub-infrastruktúra által az Azure Stack Hub operátorának közreműködése nélkül használt tanúsítványok, jelszavak, biztonságos sztringek és kulcsok lehetnek. A belső titkos kulcsok leváltására csak akkor van szükség, ha azt gyanítja, hogy sérült valamelyiknek a biztonsága, vagy a kulcs lejáratára figyelmeztető riasztást kapott.

Az 1811 előtti üzemelő példányok riasztásokat láthatnak a függőben lévő belső tanúsítványokkal vagy titkos kódlejáratokkal kapcsolatban. Ezek a riasztások pontatlanok, ezért figyelmen kívül kell hagyni őket, és az 1811-ben megoldódott ismert probléma.

A belső titkos kulcsok elforgatásához hajtsa végre az alábbi lépéseket:

  1. Futtassa a következő PowerShell-szkriptet. Figyelje meg, hogy a titkos kulcsok belső rotálása esetén a "Titkos kulcs rotálása" szakasz csak a -InternalStart-SecretRotation parancsmag paraméterét használja:

    # Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

    Megjegyzés

    Az 1811 előtti verziókhoz nincs szükség a jelzőre -Internal .

  2. A sikeres végrehajtás után a konzol megjelenít egy ActionPlanInstanceID ... CurrentStatus: Completed üzenetet, majd a következőt: Action plan finished with status: 'Completed'.

    Megjegyzés

    Ha a titkos kulcsok leváltása meghiúsul, kövesse a hibaüzenetben található utasításokat, és futtassa ismét a Start-SecretRotation parancsot az -Internal és -ReRun paraméterekkel.

    Start-SecretRotation -Internal -ReRun

    Ha ismétlődő titkos kulcsrotálási hibákat tapasztal, forduljon az ügyfélszolgálathoz.

Az Azure Stack Hub főtanúsítványának rotálása

Az Azure Stack Hub főtanúsítványa az üzembe helyezés során lesz kiépítve öt év lejárati idővel. A 2108-tól kezdődően a belső titkos kulcs rotálása a főtanúsítványt is elforgatja. A standard titkos kód lejárati riasztása azonosítja a főtanúsítvány lejáratát, és riasztásokat hoz létre 90 (figyelmeztetés) és 30 (kritikus) napon.

A főtanúsítvány elforgatásához frissítenie kell a rendszert 2108-ra, és belső titkos kulcsok rotálását kell végrehajtania.

A következő kódrészlet a Privileged Endpoint használatával listázja a főtanúsítvány lejárati dátumát:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

A BMC hitelesítő adatainak frissítése

Az alaplapi felügyeleti vezérlő figyeli a kiszolgálók fizikai állapotát. A BMC felhasználói fiókjának nevének és jelszavának frissítésére vonatkozó utasításokért tekintse meg az eredeti hardvergyártó (OEM) hardvergyártóját.

Megjegyzés

Előfordulhat, hogy az OEM további felügyeleti alkalmazásokat biztosít. Más felügyeleti alkalmazások felhasználónevének vagy jelszavának frissítése nincs hatással a BMC-felhasználónévre vagy -jelszóra.

  1. Frissítse a BMC-t az Azure Stack Hub fizikai kiszolgálóin az OEM-utasítások követésével. A környezet minden BMC-jének felhasználónévnek és jelszónak meg kell egyeznie. A BMC-felhasználónevek száma nem haladhatja meg a 16 karaktert.
  1. Már nincs szükség arra, hogy először frissítse a BMC hitelesítő adatait az Azure Stack Hub fizikai kiszolgálóin az OEM-utasítások követésével. A környezet minden BMC-jének felhasználóneve és jelszava azonosnak kell lennie, és nem haladhatja meg a 16 karaktert.

  1. Nyisson meg egy emelt szintű végpontot az Azure Stack Hub-munkamenetekben. Útmutatásért lásd : A kiemelt végpont használata az Azure Stack Hubban.

  2. Egy emelt szintű végponti munkamenet megnyitása után futtassa az alábbi PowerShell-szkriptek egyikét, amelyek a Set-BmcCredential futtatásához Invoke-Command használják. Ha az opcionális -BypassBMCUpdate paramétert a Set-BMCCredential paraméterrel használja, a BMC hitelesítő adatai nem frissülnek. Csak az Azure Stack Hub belső adattára frissül. Adja át a kiemelt végpont munkamenet-változóját paraméterként.

    Íme egy példa PowerShell-szkriptre, amely felhasználónevet és jelszót kér:

    # Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

    A felhasználónevet és a jelszót változókban is kódolhatja, ami kevésbé biztonságos lehet:

    # Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Hivatkozás: Start-SecretRotation parancsmag

A Start-SecretRotation parancsmag elforgatja egy Azure Stack Hub-rendszer infrastruktúrakulcsait. Ez a parancsmag csak az Azure Stack Hub emelt szintű végponton hajtható végre egy Invoke-Command szkriptblokk használatával, amely átadja a PEP-munkamenetet a -Session paraméterben. Alapértelmezés szerint csak az összes külső hálózati infrastruktúra-végpont tanúsítványait forgatja el.

Paraméter Típus Kötelező Pozíció Alapértelmezett Description
PfxFilesPath Sztring Hamis Nevezett None A \Certificates gyökérmappájának fájlmegosztási útvonala , amely az összes külső hálózati végponti tanúsítványt tartalmazza. Csak külső titkos kulcsok rotálása esetén szükséges. Az elérési útnak \Certificates mappával kell végződnie, például \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword SecureString Hamis Nevezett None A -PfXFilesPath fájlban megadott összes tanúsítvány jelszava. Kötelező érték, ha a PfxFilesPath a külső titkos kulcsok elforgatásakor van megadva.
Internal Sztring Hamis Nevezett None A belső jelzőt akkor kell használni, amikor egy Azure Stack Hub-operátor el szeretné forgatni a belső infrastruktúra titkos kulcsait.
PathAccessCredential PSCredential Hamis Nevezett None A \Certificates könyvtár fájlhasználatának PowerShell-hitelesítő adatai, amely tartalmazza az összes külső hálózati végponti tanúsítványt. Csak külső titkos kulcsok rotálása esetén szükséges.
ReRun Kapcsolóparaméter Hamis Nevezett None Akkor kell használni, ha a titkos kulcsok rotációja egy sikertelen kísérlet után újra meg van szokva.

Syntax

Külső titkos kulcsok rotálása

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Belső titkos kulcsok rotálása

Start-SecretRotation [-Internal]

Külső titkos kulcs rotálásának újrafuttatása

Start-SecretRotation [-ReRun]

Belső titkos kulcsok rotálásának újrafuttatása

Start-SecretRotation [-ReRun] [-Internal]

Példák

Csak a belső infrastruktúra titkos kulcsának elforgatása

Ezt a parancsot az Azure Stack Hub-környezet kiemelt végpontján keresztül kell futtatni.

PS C:\> Start-SecretRotation -Internal

Ez a parancs elforgatja az Azure Stack Hub belső hálózatának közzétett összes infrastruktúra-titkos kódot.

Csak a külső infrastruktúra titkos kulcsának elforgatása

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Ez a parancs elforgatja az Azure Stack Hub külső hálózati infrastruktúrájának végpontjaihoz használt TLS-tanúsítványokat.

Belső és külső infrastruktúra titkos kulcsának rotálása (csak az 1811-et megelőző )

Fontos

Ez a parancs csak az 1811 előtti Azure Stack Hubra vonatkozik, mivel a rotáció fel lett osztva a belső és külső tanúsítványok esetében.

Az 1811-től kezdődően már nem forgathatja el a belső és külső tanúsítványokat sem!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Ez a parancs elforgatja az Azure Stack Hub belső hálózatának közzétett infrastruktúrakulcsokat, valamint az Azure Stack Hub külső hálózati infrastruktúravégpontjaihoz használt TLS-tanúsítványokat. Start-SecretRotation az összes verem által létrehozott titkos kulcs rotálása, és mivel vannak biztosított tanúsítványok, a külső végponttanúsítványok is el lesznek forgatva.

Következő lépések

További információ az Azure Stack Hub biztonságáról