Memutar rahasia di Azure Stack Hub
Artikel ini memberikan panduan dalam melakukan pemutaran rahasia, membantu menjaga komunikasi yang aman dengan sumber daya dan layanan infrastruktur Azure Stack Hub.
Gambaran Umum
Azure Stack Hub menggunakan rahasia untuk menjaga komunikasi yang aman dengan sumber daya dan layanan infrastruktur. Untuk menjaga integritas infrastruktur Azure Stack Hub, operator membutuhkan kemampuan untuk memutar rahasia pada frekuensi yang konsisten dengan persyaratan keamanan organisasi mereka.
Ketika rahasia mendekati masa kedaluwarsa, maka peringatan berikut akan dihasilkan di portal administrator. Menyelesaikan rotasi rahasia akan menyelesaikan pemberitahuan ini:
- Kedaluwarsa kata sandi akun layanan yang tertunda
- Tanggal kedaluwarsa sertifikat internal tertunda
- Tanggal kedaluwarsa sertifikat eksternal tertunda
Peringatan
Ada 2 fase peringatan yang dipicu di portal administrator sebelum kedaluwarsa:
- Peringatan akan dibuat 90 hari sebelum masa kedaluwarsa.
- Peringatan penting akan dibuat 30 hari sebelum masa kedaluwarsa.
Anda harus menyelesaikan pemutaran rahasia jika Anda menerima pemberitahuan ini karena sangat penting. Jika Anda gagal menyelesaikan pemutaran rahasianya, maka Anda mungkin menyebabkan hilangnya beban kerja dan ada kemungkinan untuk menyebarkan ulang Azure Stack Hub dengan biaya Anda sendiri!
Untuk informasi selengkapnya tentang pemantauan dan remediasi pemberitahuan, lihat Memantau kesehatan dan pemberitahuan di Azure Stack Hub.
Catatan
Lingkungan Azure Stack Hub pada versi sebelum versi 1811 mungkin melihat peringatan sertifikat internal yang tertunda atau kedaluwarsa rahasia. Peringatan ini tidak akurat dan harus diabaikan tanpa menjalankan pemutaran rahasia internal. Peringatan kedaluwarsa rahasia internal yang tidak akurat adalah masalah yang diketahui yang telah diatasi di versi 1811. Rahasia internal tidak akan kedaluwarsa kecuali lingkungan telah aktif selama dua tahun.
Prasyarat
Sangat disarankan agar Anda menjalankan versi Azure Stack Hub yang didukung dan menerapkan perbaikan terbaru yang tersedia untuk versi Azure Stack Hub yang dijalankan instans Anda. Misalnya, jika Anda menjalankan 2008, pastikan Anda telah menginstal perbaikan terbaru yang tersedia untuk 2008.
Penting
Untuk versi sebelum versi 1811:
- Jika pemutaran rahasia telah dilakukan, maka Anda harus memperbarui ke versi 1811 atau versi yang lebih baru sebelum Anda melakukan pemutaran rahasia lagi. Pemutaran Rahasia harus dijalankan melalui Titik Akhir Istimewa dan memerlukan info masuk Azure Stack Hub Operator. Jika Anda tidak tahu apakah pemutaran rahasia telah dijalankan di lingkungan Anda, perbarui ke versi 1811 sebelum melakukan pemutaran rahasia.
- Anda tidak perlu memutar rahasia untuk menambahkan sertifikat host ekstensi. Anda harus mengikuti petunjuk dalam artikel Menyiapkan host ekstensi untuk Azure Stack Hub untuk menambahkan sertifikat host ekstensi.
Beri tahu pengguna Anda mengenai operasi pemeliharaan terencana. Jadwalkan jendela perawatan normal sesering mungkin selama di luar jam kerja. Operasi pemeliharaan dapat memengaruhi beban kerja pengguna dan operasi portal.
Buat permintaan penandatanganan sertifikat untuk Azure Stack Hub.
Selama pemutaran rahasia, operator mungkin melihat bahwa peringatan terbuka dan tertutup secara otomatis. Perilaku ini diharapkan dan peringatan dapat diabaikan. Operator dapat memastikan validitas peringatan ini dengan menggunakan cmdlet PowerShell Test-AzureStack. Untuk operator, menggunakan System Center Operations Manager untuk memantau sistem Azure Stack Hub, menempatkan sistem dalam mode pemeliharaan akan mencegah pemberitahuan ini mencapai sistem ITSM mereka. Namun, pemberitahuan akan terus datang jika sistem Azure Stack Hub menjadi tidak dapat dijangkau.
Memutar rahasia eksternal
Penting
Pemutaran rahasia eksternal untuk:
- Rahasia non-sertifikat seperti kunci dan string aman harus dilakukan secara manual oleh administrator. Pemutaran ini mencakup kata sandi akun pengguna dan administrator, dan kata sandi pengalihan jaringan.
- Rahasia penyedia sumber daya nilai tambah (RP) tercakup dalam panduan terpisah:
- Kredensial pengontrol manajemen baseboard (BMC) adalah proses manual, yang dibahas nanti dalam artikel ini.
- Azure Container Registry sertifikat eksternal adalah proses manual, yang dibahas nanti dalam artikel ini.
Bagian ini mencakup pemutaran sertifikat yang digunakan untuk mengamankan layanan yang menghadapi eksternal. Sertifikat ini diberikan oleh Operator Azure Stack Hub, untuk layanan berikut:
- Portal administrator
- Portal publik
- Azure Resource Manager Administrator
- Azure Resource Manager Global
- Key Vault Administrator
- Key Vault
- Host Ekstensi Admin
- ACS (termasuk blob, tabel, dan penyimpanan antrean)
- ADFS1
- Grafik1
- Container Registry2
1Berlaku saat menggunakan Layanan Federasi Direktori Aktif (ADFS).
2Berlaku saat menggunakan Azure Container Registry (ACR).
Persiapan
Sebelum rotasi rahasia eksternal:
Kemudian jalankan cmdlet PowerShell
Test-AzureStack
dengan menggunakan parameter-group SecretRotationReadiness
untuk mengonfirmasi bahwa semua output pengujian dalam keadaan baik sebelum memutar rahasia.Siapkan satu set sertifikat eksternal pengganti yang baru:
Set yang baru harus sesuai dengan spesifikasi sertifikat yang diuraikan dalam persyaratan sertifikat PKI Azure Stack Hub.
Buat permintaan penandatanganan sertifikat (CSR) yang akan dikirim ke Certificate Authority (CA) Anda. Gunakan langkah-langkah yang diuraikan dalam Menghasilkan permintaan penandatanganan sertifikat dan siapkan untuk digunakan di lingkungan Azure Stack Hub Anda dengan menggunakan langkah-langkah dalam Menyiapkan sertifikat PKI. Azure Stack Hub mendukung pemutaran rahasia untuk sertifikat eksternal dari Certificate Authority (CA) baru dalam konteks berikut:
Memutar dari CA Memutar ke CA Dukungan versi Azure Stack Hub Ditandatangani Sendiri Perusahaan 1903 & nanti Ditandatangani Sendiri Ditandatangani Sendiri Tidak Didukung Ditandatangani Sendiri Publik* 1803 & nanti Perusahaan Perusahaan 1803 & kemudian; 1803-1903 jika SAME enterprise CA seperti yang digunakan saat penyebaran Perusahaan Ditandatangani Sendiri Tidak Didukung Perusahaan Publik* 1803 & nanti Publik* Perusahaan 1903 & nanti Publik* Ditandatangani Sendiri Tidak Didukung Publik* Publik* 1803 & nanti *Bagian dari Windows Trusted Root Program.
Pastikan untuk memvalidasi sertifikat yang Anda siapkan dengan langkah-langkah yang diuraikan dalam Memvalidasi Sertifikat PKI
Pastikan bahwa tidak ada karakter khusus dalam kata sandi, seperti misalnya
$
,*
,#
,@
,or
)`.Pastikan enkripsi PFX adalah TripleDES-SHA1. Jika Anda mengalami masalah, lihat Memperbaiki masalah umum terkait sertifikat PKI Azure Stack Hub.
Simpan pencadangan ke sertifikat yang digunakan untuk rotasi di lokasi pencadangan yang aman. Jika rotasi berjalan lalu gagal, ganti sertifikat di fileshare dengan salinan file cadangan sebelum menjalankan rotasi kembali. Simpan salinan pencadangan di lokasi pencadangan yang aman.
Buat fileshare yang dapat Anda akses dari mesin virtual ERCS. Bagian fileshare harus dapat dibaca dan dapat ditulis untuk identitas CloudAdmin.
Buka konsol PowerShell ISE dari komputer tempat Anda memiliki akses ke fileshare. Buka fileshare Anda, tempat Anda membuat direktori untuk meletakkan sertifikat eksternal.
Buat folder di berbagi file bernama
Certificates
. Di dalam folder sertifikat, buat subfolder bernamaAAD
atauADFS
, tergantung pada penyedia identitas yang digunakan Hub Anda. Misalnya, .\Certificates\AAD atau .\Certificates\ADFS. Tidak ada folder lain selain folder sertifikat dan subfolder IdP yang harus dibuat di sini.Salin kumpulan sertifikat eksternal pengganti baru yang dibuat di langkah #2, ke folder .\Certificates\<IdentityProvider> yang dibuat di langkah #6. Seperti disebutkan di atas, subfolder IdP Anda harus
AAD
atauADFS
. Pastikan bahwa nama alternatif subjek (SAN) dari sertifikat eksternal pengganti Anda mengikuticert.<regionName>.<externalFQDN>
format yang ditentukan dalam persyaratan sertifikat infrastruktur kunci publik (PKI) Azure Stack Hub.Berikut adalah contoh struktur folder untuk IdP Microsoft Entra:
<ShareName> │ └───Certificates └───AAD ├───ACSBlob │ <CertName>.pfx │ ├───ACSQueue │ <CertName>.pfx │ ├───ACSTable │ <CertName>.pfx │ ├───Admin Extension Host │ <CertName>.pfx │ ├───Admin Portal │ <CertName>.pfx │ ├───ARM Admin │ <CertName>.pfx │ ├───ARM Public │ <CertName>.pfx │ ├───Container Registry* │ <CertName>.pfx │ ├───KeyVault │ <CertName>.pfx │ ├───KeyVaultInternal │ <CertName>.pfx │ ├───Public Extension Host │ <CertName>.pfx │ └───Public Portal <CertName>.pfx
*Berlaku saat menggunakan Azure Container Registry (ACR) untuk ID Microsoft Entra dan ADFS.
Catatan
Jika Anda memutar sertifikat Container Registry eksternal, Anda harus membuat Container Registry
subfolder secara manual di subfolder penyedia identitas. Selain itu, Anda harus menyimpan sertifikat .pfx yang sesuai dalam subfolder yang dibuat secara manual ini.
Rotasi
Selesaikan langkah-langkah berikut untuk memutar rahasia eksternal:
Gunakan skrip PowerShell berikut untuk memutar rahasia. Skrip memerlukan akses ke sesi Privileged EndPoint (PEP). PEP diakses melalui sesi PowerShell jarak jauh pada mesin virtual (VM) yang meng-host PEP. Jika Anda menggunakan sistem terintegrasi, ada tiga instans PEP, dengan masing-masing instans tersebut berjalan di dalam mesin virtual (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) pada host yang berbeda. Skrip melakukan langkah-langkah berikut:
Membuat Sesi PowerShell dengan Titik Akhir Istimewa menggunakan akun CloudAdmin, dan menyimpan sesi sebagai variabel. Variabel ini digunakan sebagai parameter pada langkah selanjutnya.
Menjalankan Invoke-Command, melewati variabel sesi PEP sebagai parameter
-Session
.Menjalankan
Start-SecretRotation
di sesi PEP, menggunakan parameter berikut. Untuk informasi selengkapnya, lihat referensi Start-SecretRotation :Parameter Variabel Deskripsi -PfxFilesPath
$CertSharePath Jalur jaringan ke folder akar sertifikat Anda seperti yang dibahas di Langkah 6 dari bagian Persiapan, misalnya \\<IPAddress>\<ShareName>\Certificates
.-PathAccessCredential
$CertShareCreds Objek PSCredential untuk kredensial ke yang dibagikan. -CertificatePassword
$CertPassword String aman kata sandi yang digunakan untuk semua file sertifikat pfx yang dibuat.
# Create a PEP session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run secret rotation $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force $CertShareCreds = Get-Credential $CertSharePath = "<Network_Path_Of_CertShare>" Invoke-Command -Session $PEPsession -ScriptBlock { param($CertSharePath, $CertPassword, $CertShareCreds ) Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds) Remove-PSSession -Session $PEPSession
Rotasi rahasia eksternal memerlukan waktu sekitar satu jam. Setelah berhasil menyelesaikannya, konsol Anda akan menampilkan pesan
ActionPlanInstanceID ... CurrentStatus: Completed
, diikuti olehAction plan finished with status: 'Completed'
. Hapus sertifikat Anda dari bagian yang dibuat di bagian Persiapan dan simpan di lokasi pencadangan aman mereka.Catatan
Jika pemutaran rahasia gagal, ikuti instruksi dalam pesan kesalahan dan jalankan ulang
Start-SecretRotation
dengan parameter-ReRun
.Start-SecretRotation -ReRun
Hubungi dukungan jika Anda terus mengalami kegagalan pemutaran rahasia.
Secara opsional, untuk mengonfirmasi bahwa semua sertifikat eksternal diputar, jalankan Test-AzureStack, yaitu sebuah alat validasi dengan menggunakan skrip berikut:
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
Memutar rahasia internal
Rahasia internal mencakup sertifikat, kata sandi, string aman, dan kunci yang digunakan oleh infrastruktur Azure Stack Hub, tanpa intervensi dari Azure Stack Hub Operator. Rotasi rahasia internal hanya diperlukan jika Anda mencurigai satu masalah telah dikompromikan, atau Anda telah menerima peringatan kedaluwarsa.
Penyebaran sebelum versi 1811 mungkin melihat peringatan sertifikat internal yang tertunda atau masa kedaluwarsa rahasia. Peringatan ini tidak akurat dan harus diabaikan, dan merupakan masalah yang diketahui yang telah diatasi pada versi 1811.
Selesaikan langkah-langkah berikut untuk memutar rahasia internal:
Jalankan skrip PowerShell berikut. Catatan untuk pemutaran rahasia internal, bagian "Jalankan Pemutaran Rahasia" hanya menggunakan parameter
-Internal
ke cmdlet Start-SecretRotation:# Create a PEP Session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run Secret Rotation Invoke-Command -Session $PEPSession -ScriptBlock { Start-SecretRotation -Internal } Remove-PSSession -Session $PEPSession
Catatan
Versi sebelum 1811 tidak memerlukan bendera
-Internal
.Setelah berhasil menyelesaikannya, konsol Anda akan menampilkan pesan
ActionPlanInstanceID ... CurrentStatus: Completed
, diikuti olehAction plan finished with status: 'Completed'
.Catatan
Jika rotasi rahasia gagal, ikuti instruksi dalam pesan kesalahan dan
Start-SecretRotation
jalankan ulang-Internal
dengan dan-ReRun
parameter.Start-SecretRotation -Internal -ReRun
Hubungi dukungan jika Anda terus mengalami kegagalan pemutaran rahasia.
Memutar sertifikat akar Azure Stack Hub
Sertifikat akar Azure Stack Hub diprovisikan selama penyebaran dengan masa kedaluwarsa lima tahun. Dimulai dari 2108, rotasi rahasia internal juga memutar sertifikat akar. Peringatan masa kedaluwarsa rahasia standar mengidentifikasi masa kedaluwarsa sertifikat akar dan menghasilkan peringatan pada 90 (peringatan) dan 30 hari (kritis).
Untuk memutar sertifikat akar, Anda harus memperbarui sistem ke 2108 dan menjalankan rotasi rahasia internal.
Cuplikan kode berikut menggunakan Titik Akhir Istimewa untuk mencantumkan tanggal kedaluwarsa sertifikat akar:
$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }
$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan
Memperbarui informasi masuk BMC
Pengontrol manajemen baseboard memantau keadaan fisik server Anda. Lihat vendor perangkat keras produsen peralatan asli (OEM) Anda untuk petunjuk cara memperbarui nama akun pengguna dan kata sandi BMC.
Catatan
OEM Anda mungkin menyediakan aplikasi manajemen tambahan. Memperbarui nama pengguna atau kata sandi untuk aplikasi manajemen lainnya tidak berpengaruh pada nama pengguna atau kata sandi BMC.
- Perbarui BMC di server fisik Azure Stack Hub dengan mengikuti instruksi OEM Anda. Nama pengguna dan kata sandi untuk setiap BMC di lingkungan Anda harus sama. Nama pengguna BMC tidak boleh melebihi 16 karakter.
- Anda tidak lagi diharuskan untuk memperbarui info masuk BMC terlebih dahulu di server fisik Azure Stack Hub dengan mengikuti instruksi OEM Anda. Nama pengguna dan kata sandi untuk setiap BMC di lingkungan Anda harus sama, dan tidak dapat melebihi 16 karakter.
Buka titik akhir istimewa di sesi Azure Stack Hub. Untuk mengetahui petunjuknya, lihat Menggunakan titik akhir istimewa di Azure Stack Hub.
Setelah membuka sesi titik akhir istimewa, jalankan salah satu skrip PowerShell di bawah ini, yang menggunakan Invoke-Command untuk menjalankan Set-BmcCredential. Jika Anda menggunakan parameter -BypassBMCUpdate dengan Set-BMCCredential yang bersifat opsional, maka info masuk di BMC tidak diperbarui. Hanya datastore internal Azure Stack Hub yang diperbarui. Berikan variabel sesi titik akhir istimewa Anda sebagai parameter.
Berikut adalah contoh skrip PowerShell yang akan meminta nama pengguna dan kata sandi:
# Interactive Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials" $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString $NewBmcUser = Read-Host -Prompt "Enter New BMC user name" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Anda juga dapat menyandikan nama pengguna dan kata sandi dalam bentuk variabel, yang mungkin kurang aman:
# Static Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>" $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd) $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force $NewBmcUser = "<New BMC User name>" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Referensi: cmdlet Start-SecretRotation
Cmdlet Start-SecretRotation memutar rahasia infrastruktur sistem Azure Stack Hub. Cmdlet ini hanya dapat dijalankan terhadap titik akhir istimewa Azure Stack Hub, dengan menggunakan blok skrip Invoke-Command
yang melewati sesi PEP dalam parameter -Session
. Secara default, cmdlet tersebut hanya memutar sertifikat semua titik akhir infrastruktur jaringan eksternal.
Parameter | Jenis | Diperlukan | Posisi | Default | Deskripsi |
---|---|---|---|---|---|
PfxFilesPath |
Untai | Salah | Dinamai | Tidak ada | Jalur fileshare ke folder akar \Certificates yang berisi semua sertifikat titik akhir jaringan eksternal. Hanya diperlukan saat memutar rahasia eksternal. Jalur harus diakhiri dengan folder \Certificates, misalnya \\<IPAddress>\<ShareName>\Certificates. |
CertificatePassword |
SecureString | Salah | Dinamai | Tidak ada | Kata sandi untuk semua sertifikat yang disediakan di -PfXFilesPath. Nilai yang diperlukan jika PfxFilesPath disediakan saat rahasia eksternal diputar. |
Internal |
Untai | Salah | Dinamai | Tidak ada | Bendera internal harus digunakan kapan saja saat operator Azure Stack Hub ingin memutar rahasia infrastruktur internal. |
PathAccessCredential |
PSCredential | Salah | Dinamai | Tidak ada | Info masuk PowerShell untuk fileshare direktori \Sertifikat yang berisi semua sertifikat titik akhir jaringan eksternal. Hanya diperlukan saat memutar rahasia eksternal. |
ReRun |
SwitchParameter | Salah | Dinamai | Tidak ada | Harus digunakan kapan saja pemutaran rahasia dicoba ulang setelah upaya yang dilakukan sebelumnya gagal. |
Sintaks
Untuk pemutaran rahasia eksternal
Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]
Untuk pemutaran rahasia internal
Start-SecretRotation [-Internal]
Untuk pemutaran ulang rahasia eksternal
Start-SecretRotation [-ReRun]
Untuk pemutaran ulang rahasia internal
Start-SecretRotation [-ReRun] [-Internal]
Contoh
Hanya memutar rahasia infrastruktur internal
Perintah ini harus dijalankan melalui titik akhir istimewa lingkungan Azure Stack Hub Anda.
PS C:\> Start-SecretRotation -Internal
Perintah ini memutar semua rahasia infrastruktur yang diperlihatkan ke jaringan internal Azure Stack Hub.
Hanya memutar rahasia infrastruktur eksternal
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
param($CertSharePath, $CertPassword, $CertShareCreds )
Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession
Perintah ini memutar sertifikat TLS yang digunakan untuk titik akhir infrastruktur jaringan eksternal Azure Stack Hub.
Memutar rahasia infrastruktur internal dan eksternal (hanya sebelum versi 1811)
Penting
Perintah ini hanya berlaku untuk Azure Stack Hub sebelum versi 1811 karena pemutaran telah dibagi untuk sertifikat internal dan eksternal.
Dari versi 1811+, Anda tidak lagi dapat memutar sertifikat internal dan eksternal!
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession
Perintah ini memutar rahasia infrastruktur yang diperlihatkan ke jaringan internal Azure Stack Hub, dan sertifikat TLS yang digunakan untuk titik akhir infrastruktur jaringan eksternal Azure Stack Hub. Start-SecretRotation memutar semua rahasia yang dihasilkan tumpukan, dan karena ada sertifikat yang disediakan, maka sertifikat titik akhir eksternal juga akan diputar.