Memutar rahasia di Azure Stack Hub

Artikel
03/29/2024

Artikel ini memberikan panduan dalam melakukan pemutaran rahasia, membantu menjaga komunikasi yang aman dengan sumber daya dan layanan infrastruktur Azure Stack Hub.

Gambaran Umum

Azure Stack Hub menggunakan rahasia untuk menjaga komunikasi yang aman dengan sumber daya dan layanan infrastruktur. Untuk menjaga integritas infrastruktur Azure Stack Hub, operator membutuhkan kemampuan untuk memutar rahasia pada frekuensi yang konsisten dengan persyaratan keamanan organisasi mereka.

Ketika rahasia mendekati masa kedaluwarsa, maka peringatan berikut akan dihasilkan di portal administrator. Menyelesaikan rotasi rahasia akan menyelesaikan pemberitahuan ini:

Kedaluwarsa kata sandi akun layanan yang tertunda
Tanggal kedaluwarsa sertifikat internal tertunda
Tanggal kedaluwarsa sertifikat eksternal tertunda

Peringatan

Ada 2 fase peringatan yang dipicu di portal administrator sebelum kedaluwarsa:

Peringatan akan dibuat 90 hari sebelum masa kedaluwarsa.
Peringatan penting akan dibuat 30 hari sebelum masa kedaluwarsa.

Anda harus menyelesaikan pemutaran rahasia jika Anda menerima pemberitahuan ini karena sangat penting. Jika Anda gagal menyelesaikan pemutaran rahasianya, maka Anda mungkin menyebabkan hilangnya beban kerja dan ada kemungkinan untuk menyebarkan ulang Azure Stack Hub dengan biaya Anda sendiri!

Untuk informasi selengkapnya tentang pemantauan dan remediasi pemberitahuan, lihat Memantau kesehatan dan pemberitahuan di Azure Stack Hub.

Catatan

Lingkungan Azure Stack Hub pada versi sebelum versi 1811 mungkin melihat peringatan sertifikat internal yang tertunda atau kedaluwarsa rahasia. Peringatan ini tidak akurat dan harus diabaikan tanpa menjalankan pemutaran rahasia internal. Peringatan kedaluwarsa rahasia internal yang tidak akurat adalah masalah yang diketahui yang telah diatasi di versi 1811. Rahasia internal tidak akan kedaluwarsa kecuali lingkungan telah aktif selama dua tahun.

Prasyarat

Sangat disarankan agar Anda menjalankan versi Azure Stack Hub yang didukung dan menerapkan perbaikan terbaru yang tersedia untuk versi Azure Stack Hub yang dijalankan instans Anda. Misalnya, jika Anda menjalankan 2008, pastikan Anda telah menginstal perbaikan terbaru yang tersedia untuk 2008.
Penting

Untuk versi sebelum versi 1811:
- Jika pemutaran rahasia telah dilakukan, maka Anda harus memperbarui ke versi 1811 atau versi yang lebih baru sebelum Anda melakukan pemutaran rahasia lagi. Pemutaran Rahasia harus dijalankan melalui Titik Akhir Istimewa dan memerlukan info masuk Azure Stack Hub Operator. Jika Anda tidak tahu apakah pemutaran rahasia telah dijalankan di lingkungan Anda, perbarui ke versi 1811 sebelum melakukan pemutaran rahasia.
- Anda tidak perlu memutar rahasia untuk menambahkan sertifikat host ekstensi. Anda harus mengikuti petunjuk dalam artikel Menyiapkan host ekstensi untuk Azure Stack Hub untuk menambahkan sertifikat host ekstensi.
Beri tahu pengguna Anda mengenai operasi pemeliharaan terencana. Jadwalkan jendela perawatan normal sesering mungkin selama di luar jam kerja. Operasi pemeliharaan dapat memengaruhi beban kerja pengguna dan operasi portal.
Buat permintaan penandatanganan sertifikat untuk Azure Stack Hub.
Siapkan sertifikat PKI Azure Stack Hub.
Selama pemutaran rahasia, operator mungkin melihat bahwa peringatan terbuka dan tertutup secara otomatis. Perilaku ini diharapkan dan peringatan dapat diabaikan. Operator dapat memastikan validitas peringatan ini dengan menggunakan cmdlet PowerShell Test-AzureStack. Untuk operator, menggunakan System Center Operations Manager untuk memantau sistem Azure Stack Hub, menempatkan sistem dalam mode pemeliharaan akan mencegah pemberitahuan ini mencapai sistem ITSM mereka. Namun, pemberitahuan akan terus datang jika sistem Azure Stack Hub menjadi tidak dapat dijangkau.

Memutar rahasia eksternal

Penting

Pemutaran rahasia eksternal untuk:

Rahasia non-sertifikat seperti kunci dan string aman harus dilakukan secara manual oleh administrator. Pemutaran ini mencakup kata sandi akun pengguna dan administrator, dan kata sandi pengalihan jaringan.
Rahasia penyedia sumber daya nilai tambah (RP) tercakup dalam panduan terpisah:
Kredensial pengontrol manajemen baseboard (BMC) adalah proses manual, yang dibahas nanti dalam artikel ini.
Azure Container Registry sertifikat eksternal adalah proses manual, yang dibahas nanti dalam artikel ini.

Bagian ini mencakup pemutaran sertifikat yang digunakan untuk mengamankan layanan yang menghadapi eksternal. Sertifikat ini diberikan oleh Operator Azure Stack Hub, untuk layanan berikut:

Portal administrator
Portal publik
Azure Resource Manager Administrator
Azure Resource Manager Global
Key Vault Administrator
Key Vault
Host Ekstensi Admin
ACS (termasuk blob, tabel, dan penyimpanan antrean)
ADFS¹
Grafik¹
Container Registry²

¹Berlaku saat menggunakan Layanan Federasi Direktori Aktif (ADFS).

²Berlaku saat menggunakan Azure Container Registry (ACR).

Persiapan

Sebelum rotasi rahasia eksternal:

Kemudian jalankan cmdlet PowerShell Test-AzureStack dengan menggunakan parameter -group SecretRotationReadiness untuk mengonfirmasi bahwa semua output pengujian dalam keadaan baik sebelum memutar rahasia.

Siapkan satu set sertifikat eksternal pengganti yang baru:

Set yang baru harus sesuai dengan spesifikasi sertifikat yang diuraikan dalam persyaratan sertifikat PKI Azure Stack Hub.

Buat permintaan penandatanganan sertifikat (CSR) yang akan dikirim ke Certificate Authority (CA) Anda. Gunakan langkah-langkah yang diuraikan dalam Menghasilkan permintaan penandatanganan sertifikat dan siapkan untuk digunakan di lingkungan Azure Stack Hub Anda dengan menggunakan langkah-langkah dalam Menyiapkan sertifikat PKI. Azure Stack Hub mendukung pemutaran rahasia untuk sertifikat eksternal dari Certificate Authority (CA) baru dalam konteks berikut:

Memutar dari CA	Memutar ke CA	Dukungan versi Azure Stack Hub
Ditandatangani Sendiri	Perusahaan	1903 & nanti
Ditandatangani Sendiri	Ditandatangani Sendiri	Tidak Didukung
Ditandatangani Sendiri	Publik^*	1803 & nanti
Perusahaan	Perusahaan	1803 & kemudian; 1803-1903 jika SAME enterprise CA seperti yang digunakan saat penyebaran
Perusahaan	Ditandatangani Sendiri	Tidak Didukung
Perusahaan	Publik^*	1803 & nanti
Publik^*	Perusahaan	1903 & nanti
Publik^*	Ditandatangani Sendiri	Tidak Didukung
Publik^*	Publik^*	1803 & nanti

^*Bagian dari Windows Trusted Root Program.

Pastikan untuk memvalidasi sertifikat yang Anda siapkan dengan langkah-langkah yang diuraikan dalam Memvalidasi Sertifikat PKI
Pastikan bahwa tidak ada karakter khusus dalam kata sandi, seperti misalnya $,*,#,@,or)`.
Pastikan enkripsi PFX adalah TripleDES-SHA1. Jika Anda mengalami masalah, lihat Memperbaiki masalah umum terkait sertifikat PKI Azure Stack Hub.

Simpan pencadangan ke sertifikat yang digunakan untuk rotasi di lokasi pencadangan yang aman. Jika rotasi berjalan lalu gagal, ganti sertifikat di fileshare dengan salinan file cadangan sebelum menjalankan rotasi kembali. Simpan salinan pencadangan di lokasi pencadangan yang aman.
Buat fileshare yang dapat Anda akses dari mesin virtual ERCS. Bagian fileshare harus dapat dibaca dan dapat ditulis untuk identitas CloudAdmin.
Buka konsol PowerShell ISE dari komputer tempat Anda memiliki akses ke fileshare. Buka fileshare Anda, tempat Anda membuat direktori untuk meletakkan sertifikat eksternal.
Buat folder di berbagi file bernama Certificates. Di dalam folder sertifikat, buat subfolder bernama AAD atau ADFS, tergantung pada penyedia identitas yang digunakan Hub Anda. Misalnya, .\Certificates\AAD atau .\Certificates\ADFS. Tidak ada folder lain selain folder sertifikat dan subfolder IdP yang harus dibuat di sini.

Salin kumpulan sertifikat eksternal pengganti baru yang dibuat di langkah #2, ke folder .\Certificates\<IdentityProvider> yang dibuat di langkah #6. Seperti disebutkan di atas, subfolder IdP Anda harus AAD atau ADFS. Pastikan bahwa nama alternatif subjek (SAN) dari sertifikat eksternal pengganti Anda mengikuti cert.<regionName>.<externalFQDN> format yang ditentukan dalam persyaratan sertifikat infrastruktur kunci publik (PKI) Azure Stack Hub.

Berikut adalah contoh struktur folder untuk IdP Microsoft Entra:

    <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

^*Berlaku saat menggunakan Azure Container Registry (ACR) untuk ID Microsoft Entra dan ADFS.

Catatan

Jika Anda memutar sertifikat Container Registry eksternal, Anda harus membuat Container Registry subfolder secara manual di subfolder penyedia identitas. Selain itu, Anda harus menyimpan sertifikat .pfx yang sesuai dalam subfolder yang dibuat secara manual ini.

Rotasi

Selesaikan langkah-langkah berikut untuk memutar rahasia eksternal:

Gunakan skrip PowerShell berikut untuk memutar rahasia. Skrip memerlukan akses ke sesi Privileged EndPoint (PEP). PEP diakses melalui sesi PowerShell jarak jauh pada mesin virtual (VM) yang meng-host PEP. Jika Anda menggunakan sistem terintegrasi, ada tiga instans PEP, dengan masing-masing instans tersebut berjalan di dalam mesin virtual (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) pada host yang berbeda. Skrip melakukan langkah-langkah berikut:

Membuat Sesi PowerShell dengan Titik Akhir Istimewa menggunakan akun CloudAdmin, dan menyimpan sesi sebagai variabel. Variabel ini digunakan sebagai parameter pada langkah selanjutnya.
Menjalankan Invoke-Command, melewati variabel sesi PEP sebagai parameter -Session.

Menjalankan Start-SecretRotation di sesi PEP, menggunakan parameter berikut. Untuk informasi selengkapnya, lihat referensi Start-SecretRotation :

Parameter	Variabel	Deskripsi
`-PfxFilesPath`	$CertSharePath	Jalur jaringan ke folder akar sertifikat Anda seperti yang dibahas di Langkah 6 dari bagian Persiapan, misalnya `\\<IPAddress>\<ShareName>\Certificates`.
`-PathAccessCredential`	$CertShareCreds	Objek PSCredential untuk kredensial ke yang dibagikan.
`-CertificatePassword`	$CertPassword	String aman kata sandi yang digunakan untuk semua file sertifikat pfx yang dibuat.

# Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Rotasi rahasia eksternal memerlukan waktu sekitar satu jam. Setelah berhasil menyelesaikannya, konsol Anda akan menampilkan pesan ActionPlanInstanceID ... CurrentStatus: Completed, diikuti oleh Action plan finished with status: 'Completed'. Hapus sertifikat Anda dari bagian yang dibuat di bagian Persiapan dan simpan di lokasi pencadangan aman mereka.
Catatan

Jika pemutaran rahasia gagal, ikuti instruksi dalam pesan kesalahan dan jalankan ulang Start-SecretRotation dengan parameter -ReRun.
```
Start-SecretRotation -ReRun
```
Hubungi dukungan jika Anda terus mengalami kegagalan pemutaran rahasia.
Secara opsional, untuk mengonfirmasi bahwa semua sertifikat eksternal diputar, jalankan Test-AzureStack, yaitu sebuah alat validasi dengan menggunakan skrip berikut:
```
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
```

Memutar rahasia internal

Rahasia internal mencakup sertifikat, kata sandi, string aman, dan kunci yang digunakan oleh infrastruktur Azure Stack Hub, tanpa intervensi dari Azure Stack Hub Operator. Rotasi rahasia internal hanya diperlukan jika Anda mencurigai satu masalah telah dikompromikan, atau Anda telah menerima peringatan kedaluwarsa.

Penyebaran sebelum versi 1811 mungkin melihat peringatan sertifikat internal yang tertunda atau masa kedaluwarsa rahasia. Peringatan ini tidak akurat dan harus diabaikan, dan merupakan masalah yang diketahui yang telah diatasi pada versi 1811.

Selesaikan langkah-langkah berikut untuk memutar rahasia internal:

Jalankan skrip PowerShell berikut. Catatan untuk pemutaran rahasia internal, bagian "Jalankan Pemutaran Rahasia" hanya menggunakan parameter -Internal ke cmdlet Start-SecretRotation:

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

Catatan

Versi sebelum 1811 tidak memerlukan bendera -Internal.

Setelah berhasil menyelesaikannya, konsol Anda akan menampilkan pesan ActionPlanInstanceID ... CurrentStatus: Completed, diikuti oleh Action plan finished with status: 'Completed'.
Catatan

Jika rotasi rahasia gagal, ikuti instruksi dalam pesan kesalahan dan Start-SecretRotation jalankan ulang -Internal dengan dan -ReRun parameter.
```
Start-SecretRotation -Internal -ReRun
```
Hubungi dukungan jika Anda terus mengalami kegagalan pemutaran rahasia.

Memutar sertifikat akar Azure Stack Hub

Sertifikat akar Azure Stack Hub diprovisikan selama penyebaran dengan masa kedaluwarsa lima tahun. Dimulai dari 2108, rotasi rahasia internal juga memutar sertifikat akar. Peringatan masa kedaluwarsa rahasia standar mengidentifikasi masa kedaluwarsa sertifikat akar dan menghasilkan peringatan pada 90 (peringatan) dan 30 hari (kritis).

Untuk memutar sertifikat akar, Anda harus memperbarui sistem ke 2108 dan menjalankan rotasi rahasia internal.

Cuplikan kode berikut menggunakan Titik Akhir Istimewa untuk mencantumkan tanggal kedaluwarsa sertifikat akar:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Memperbarui informasi masuk BMC

Pengontrol manajemen baseboard memantau keadaan fisik server Anda. Lihat vendor perangkat keras produsen peralatan asli (OEM) Anda untuk petunjuk cara memperbarui nama akun pengguna dan kata sandi BMC.

Catatan

OEM Anda mungkin menyediakan aplikasi manajemen tambahan. Memperbarui nama pengguna atau kata sandi untuk aplikasi manajemen lainnya tidak berpengaruh pada nama pengguna atau kata sandi BMC.

Perbarui BMC di server fisik Azure Stack Hub dengan mengikuti instruksi OEM Anda. Nama pengguna dan kata sandi untuk setiap BMC di lingkungan Anda harus sama. Nama pengguna BMC tidak boleh melebihi 16 karakter.

Anda tidak lagi diharuskan untuk memperbarui info masuk BMC terlebih dahulu di server fisik Azure Stack Hub dengan mengikuti instruksi OEM Anda. Nama pengguna dan kata sandi untuk setiap BMC di lingkungan Anda harus sama, dan tidak dapat melebihi 16 karakter.

Buka titik akhir istimewa di sesi Azure Stack Hub. Untuk mengetahui petunjuknya, lihat Menggunakan titik akhir istimewa di Azure Stack Hub.

Setelah membuka sesi titik akhir istimewa, jalankan salah satu skrip PowerShell di bawah ini, yang menggunakan Invoke-Command untuk menjalankan Set-BmcCredential. Jika Anda menggunakan parameter -BypassBMCUpdate dengan Set-BMCCredential yang bersifat opsional, maka info masuk di BMC tidak diperbarui. Hanya datastore internal Azure Stack Hub yang diperbarui. Berikan variabel sesi titik akhir istimewa Anda sebagai parameter.

Berikut adalah contoh skrip PowerShell yang akan meminta nama pengguna dan kata sandi:

# Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Anda juga dapat menyandikan nama pengguna dan kata sandi dalam bentuk variabel, yang mungkin kurang aman:

# Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Referensi: cmdlet Start-SecretRotation

Cmdlet Start-SecretRotation memutar rahasia infrastruktur sistem Azure Stack Hub. Cmdlet ini hanya dapat dijalankan terhadap titik akhir istimewa Azure Stack Hub, dengan menggunakan blok skrip Invoke-Command yang melewati sesi PEP dalam parameter -Session. Secara default, cmdlet tersebut hanya memutar sertifikat semua titik akhir infrastruktur jaringan eksternal.

Parameter	Jenis	Diperlukan	Posisi	Default	Deskripsi
`PfxFilesPath`	Untai	Salah	Dinamai	Tidak ada	Jalur fileshare ke folder akar \Certificates yang berisi semua sertifikat titik akhir jaringan eksternal. Hanya diperlukan saat memutar rahasia eksternal. Jalur harus diakhiri dengan folder \Certificates, misalnya \\<IPAddress>\<ShareName>\Certificates.
`CertificatePassword`	SecureString	Salah	Dinamai	Tidak ada	Kata sandi untuk semua sertifikat yang disediakan di -PfXFilesPath. Nilai yang diperlukan jika PfxFilesPath disediakan saat rahasia eksternal diputar.
`Internal`	Untai	Salah	Dinamai	Tidak ada	Bendera internal harus digunakan kapan saja saat operator Azure Stack Hub ingin memutar rahasia infrastruktur internal.
`PathAccessCredential`	PSCredential	Salah	Dinamai	Tidak ada	Info masuk PowerShell untuk fileshare direktori \Sertifikat yang berisi semua sertifikat titik akhir jaringan eksternal. Hanya diperlukan saat memutar rahasia eksternal.
`ReRun`	SwitchParameter	Salah	Dinamai	Tidak ada	Harus digunakan kapan saja pemutaran rahasia dicoba ulang setelah upaya yang dilakukan sebelumnya gagal.

Sintaks

Untuk pemutaran rahasia eksternal

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Untuk pemutaran rahasia internal

Start-SecretRotation [-Internal]

Untuk pemutaran ulang rahasia eksternal

Start-SecretRotation [-ReRun]

Untuk pemutaran ulang rahasia internal

Start-SecretRotation [-ReRun] [-Internal]

Contoh

Hanya memutar rahasia infrastruktur internal

Perintah ini harus dijalankan melalui titik akhir istimewa lingkungan Azure Stack Hub Anda.

PS C:\> Start-SecretRotation -Internal

Perintah ini memutar semua rahasia infrastruktur yang diperlihatkan ke jaringan internal Azure Stack Hub.

Hanya memutar rahasia infrastruktur eksternal

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Perintah ini memutar sertifikat TLS yang digunakan untuk titik akhir infrastruktur jaringan eksternal Azure Stack Hub.

Memutar rahasia infrastruktur internal dan eksternal (hanya sebelum versi 1811)

Penting

Perintah ini hanya berlaku untuk Azure Stack Hub sebelum versi 1811 karena pemutaran telah dibagi untuk sertifikat internal dan eksternal.

Dari versi 1811+, Anda tidak lagi dapat memutar sertifikat internal dan eksternal!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Perintah ini memutar rahasia infrastruktur yang diperlihatkan ke jaringan internal Azure Stack Hub, dan sertifikat TLS yang digunakan untuk titik akhir infrastruktur jaringan eksternal Azure Stack Hub. Start-SecretRotation memutar semua rahasia yang dihasilkan tumpukan, dan karena ada sertifikat yang disediakan, maka sertifikat titik akhir eksternal juga akan diputar.

Langkah berikutnya

Pelajari lebih lanjut keamanan Azure Stack Hub

Memutar rahasia di Azure Stack Hub

Gambaran Umum

Prasyarat

Memutar rahasia eksternal

Persiapan

Rotasi

Memutar rahasia internal

Memutar sertifikat akar Azure Stack Hub

Memperbarui informasi masuk BMC

Referensi: cmdlet Start-SecretRotation

Sintaks

Untuk pemutaran rahasia eksternal

Untuk pemutaran rahasia internal

Untuk pemutaran ulang rahasia eksternal

Untuk pemutaran ulang rahasia internal

Contoh

Hanya memutar rahasia infrastruktur internal

Hanya memutar rahasia infrastruktur eksternal

Memutar rahasia infrastruktur internal dan eksternal (hanya sebelum versi 1811)

Langkah berikutnya

Saran dan Komentar

Saran dan Komentar

Sumber Daya Tambahan: