Share via


Ruotare i segreti nell'hub di Azure Stack

Questo articolo fornisce indicazioni per l'esecuzione della rotazione dei segreti per mantenere la comunicazione sicura con le risorse e i servizi dell'infrastruttura dell'hub di Azure Stack.

Panoramica

L'hub di Azure Stack usa i segreti per mantenere la sicurezza delle comunicazioni con le risorse e i servizi dell'infrastruttura. Per mantenere l'integrità dell'infrastruttura dell'hub di Azure Stack, gli operatori devono poter ruotare i segreti con frequenze coerenti con i requisiti di sicurezza dell'organizzazione.

Quando i segreti si avvicinano alla scadenza, nel portale di amministrazione vengono generati gli avvisi seguenti. Completando la rotazione dei segreti sarà possibile risolvere gli avvisi:

  • Scadenza della password dell'account del servizio in sospeso
  • In attesa di scadenza del certificato interno
  • In attesa di scadenza del certificato esterno

Avviso

Esistono 2 fasi di avvisi attivati nel portale di amministrazione prima della scadenza:

  • 90 giorni prima della scadenza viene generato un avviso di avviso.
  • 30 giorni prima della scadenza viene generato un avviso critico.

È fondamentale completare la rotazione dei segreti se si ricevono queste notifiche. In caso contrario, la perdita di carichi di lavoro e la possibile ridistribuzione dell'hub di Azure Stack a spese proprie.

Per altre informazioni sul monitoraggio e la correzione degli avvisi, vedere Monitorare l'integrità e gli avvisi nell'hub di Azure Stack.

Nota

Gli ambienti dell'hub di Azure Stack nelle versioni precedenti alla versione 1811 possono visualizzare avvisi per le scadenze dei certificati interni o dei segreti in sospeso. Questi avvisi non sono accurati e devono essere ignorati senza eseguire la rotazione interna del segreto. Gli avvisi di scadenza dei segreti interni non accurati sono un problema noto risolto nel 1811. I segreti interni non scadono a meno che l'ambiente non sia stato attivo per due anni.

Prerequisiti

  1. È consigliabile eseguire una versione supportata dell'hub di Azure Stack e applicare l'hotfix più recente disponibile per la versione dell'hub di Azure Stack in esecuzione. Ad esempio, se si esegue la versione 2008, assicurarsi di aver installato l'hotfix più recente disponibile per la versione 2008.

    Importante

    Per le versioni precedenti alla 1811:

    • Se la rotazione del segreto è già stata eseguita, è necessario eseguire l'aggiornamento alla versione 1811 o successiva prima di eseguire nuovamente la rotazione dei segreti. La rotazione dei segreti deve essere eseguita tramite l'endpoint con privilegi e richiede le credenziali dell'operatore dell'hub di Azure Stack. Se non si sa se la rotazione dei segreti è stata eseguita nell'ambiente, eseguire l'aggiornamento alla versione 1811 prima di eseguire la rotazione dei segreti.
    • Non è necessario ruotare i segreti per aggiungere certificati host di estensione. Seguire le istruzioni riportate nell'articolo Preparare l'host dell'estensione per l'hub di Azure Stack per aggiungere i certificati host dell'estensione.
  2. Notificare agli utenti le operazioni di manutenzione pianificata. Pianificare le normali finestre di manutenzione, il più possibile, durante gli orari non lavorativi. Le operazioni di manutenzione possono influire sia sui carichi di lavoro degli utenti che sulle operazioni del portale.

  3. Generare richieste di firma del certificato per l'hub di Azure Stack.

  4. Preparare i certificati PKI dell'hub di Azure Stack.

  5. Durante la rotazione dei segreti, gli operatori possono notare l'apertura e la chiusura automatica degli avvisi. Questo comportamento è previsto ed è possibile ignorare gli avvisi. Gli operatori possono verificare la validità di questi avvisi usando il cmdlet Di PowerShell Test-AzureStack. Per gli operatori, l'uso di System Center Operations Manager per monitorare i sistemi dell'hub di Azure Stack, l'inserimento di un sistema in modalità di manutenzione impedirà a questi avvisi di raggiungere i sistemi ITSM. Tuttavia, gli avvisi continueranno a verificarsi se il sistema dell'hub di Azure Stack non sarà raggiungibile.

Ruotare i segreti esterni

Importante

Rotazione dei segreti esterni per:

Questa sezione illustra la rotazione dei certificati usati per proteggere i servizi esterni. Questi certificati vengono forniti dall'operatore dell'hub di Azure Stack per i servizi seguenti:

  • Portale di amministrazione
  • Portale pubblico
  • Amministratore di Azure Resource Manager
  • Azure Resource Manager globale
  • Amministratore di Key Vault
  • Key Vault
  • Host estensione amministrazione
  • ACS (tra cui archiviazione code, BLOB e tabelle)
  • ADFS1
  • Grafico1
  • Registro Container2

1Applicabile quando si usa Active Directory Federated Services (ADFS).

2Applicabile quando si usa Registro Azure Container (Registro Azure Container).

Preparazione

Prima della rotazione dei segreti esterni:

  1. Eseguire il Test-AzureStack cmdlet di PowerShell usando il -group SecretRotationReadiness parametro per verificare che tutti gli output di test siano integri prima di ruotare i segreti.

  2. Preparare un nuovo set di certificati esterni sostitutivi:

    • Il nuovo set deve corrispondere alle specifiche del certificato descritte nei requisiti del certificato PKI dell'hub di Azure Stack.

    • Generare una richiesta di firma del certificato da inviare all'autorità di certificazione (CA). Usare la procedura descritta in Generare richieste di firma dei certificati e prepararle per l'uso nell'ambiente dell'hub di Azure Stack seguendo la procedura descritta in Preparare i certificati PKI. L'hub di Azure Stack supporta la rotazione dei segreti per i certificati esterni da una nuova autorità di certificazione (CA) nei contesti seguenti:

      Ruotare dalla CA Ruotare su CA Supporto della versione dell'hub di Azure Stack
      Self-Signed Enterprise 1903 & successiva
      Self-Signed Self-Signed Non supportato
      Self-Signed Pubblici* 1803 & versioni successive
      Enterprise Enterprise 1803 & successivamente; 1803-1903 se LA STESSA CA aziendale usata durante la distribuzione
      Enterprise Self-Signed Non supportato
      Enterprise Pubblici* 1803 & versioni successive
      Pubblici* Enterprise 1903 & successiva
      Pubblici* Self-Signed Non supportato
      Pubblici* Pubblici* 1803 & versioni successive

      *Parte del programma radice attendibile di Windows.

    • Assicurarsi di convalidare i certificati preparati con i passaggi descritti in Convalida certificati PKI

    • Assicurarsi che non siano presenti caratteri speciali nella password, ad esempio $,*,#,,@)or'.

    • Assicurarsi che la crittografia PFX sia TripleDES-SHA1. Se si verifica un problema, vedere Risolvere i problemi comuni relativi ai certificati PKI dell'hub di Azure Stack.

  3. Archiviare un backup dei certificati usati per la rotazione in una posizione di backup sicura. Se la rotazione viene eseguita e quindi ha esito negativo, sostituire i certificati nella condivisione file con le copie di backup prima di eseguire nuovamente la rotazione. Conservare le copie di backup nella posizione di backup sicura.

  4. Creare una condivisione file a cui è possibile accedere dalle macchine virtuali ERCS. La condivisione file deve essere leggibile e scrivibile per l'identità CloudAdmin .

  5. Aprire una console di PowerShell ISE da un computer in cui si ha accesso alla condivisione file. Passare alla condivisione file, dove verranno create le directory in cui inserire i certificati esterni.

  6. Creare una cartella nella condivisione file denominata Certificates. All'interno della cartella certificates creare una sottocartella denominata AAD o ADFS, a seconda del provider di identità usato dall'hub. Ad esempio, .\Certificates\AAD o .\Certificates\ADFS. Non devono essere create altre cartelle oltre alla cartella certificates e alla sottocartella del provider di identità.

  7. Copiare il nuovo set di certificati esterni sostitutivi creati nel passaggio 2 nella cartella .\Certificates\<IdentityProvider> creata nel passaggio 6. Come indicato in precedenza, la sottocartella del provider di identità deve essere AAD o ADFS. Assicurarsi che i nomi alternativi del soggetto dei certificati esterni sostitutivi seguano il cert.<regionName>.<externalFQDN> formato specificato nei requisiti del certificato PKI (Public Key Infrastructure) dell'hub di Azure Stack.

    Ecco un esempio di struttura di cartelle per il provider di identità Microsoft Entra:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───Container Registry*
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    

*Applicabile quando si usa Registro Azure Container (ACR) per Microsoft Entra ID e ADFS.

Nota

Se si ruotano i certificati del Registro Container esterni, è necessario creare manualmente una Container Registry sottocartella nella sottocartella del provider di identità. Inoltre, è necessario archiviare il certificato pfx corrispondente all'interno di questa sottocartella creata manualmente.

Rotazione

Completare i passaggi seguenti per ruotare i segreti esterni:

  1. Usare lo script di PowerShell seguente per ruotare i segreti. Lo script richiede l'accesso a una sessione PEP (Privileged EndPoint). Il PEP è accessibile tramite una sessione di PowerShell remota nella macchina virtuale (VM) che ospita il PEP. Se si usa un sistema integrato, sono disponibili tre istanze di PEP, ognuna in esecuzione all'interno di una macchina virtuale (Prefix-ERCS01, Prefix-ERCS02 o Prefix-ERCS03) in host diversi. Lo script esegue le operazioni seguenti:

    • Crea una sessione di PowerShell con l'endpoint con privilegi usando l'account CloudAdmin e archivia la sessione come variabile. Questa variabile viene dichiarata come parametro nel passaggio successivo.

    • Esegue Invoke-Command, passando la variabile di sessione PEP come -Session parametro .

    • Viene eseguito Start-SecretRotation nella sessione PEP usando i parametri seguenti. Per altre informazioni, vedere le informazioni di riferimento su Start-SecretRotation :

      Parametro Variabile Descrizione
      -PfxFilesPath $CertSharePath Percorso di rete della cartella radice dei certificati come descritto nel passaggio 6 della sezione Preparazione, ad esempio \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds Oggetto PSCredential per le credenziali della condivisione.
      -CertificatePassword $CertPassword Stringa sicura della password usata per tutti i file di certificato pfx creati.
    # Create a PEP session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run secret rotation
    $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPsession -ScriptBlock {
        param($CertSharePath, $CertPassword, $CertShareCreds )
        Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
    } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
    Remove-PSSession -Session $PEPSession
    
  2. La rotazione dei segreti esterni richiede circa un'ora. Al termine, nella console verrà visualizzato un ActionPlanInstanceID ... CurrentStatus: Completed messaggio, seguito da Action plan finished with status: 'Completed'. Rimuovere i certificati dalla condivisione creata nella sezione di preparazione e archiviarli nel percorso di backup sicuro.

    Nota

    Se la rotazione del segreto ha esito negativo, seguire le istruzioni nel messaggio di errore ed eseguire Start-SecretRotation di nuovo con il -ReRun parametro .

    Start-SecretRotation -ReRun
    

    Contattare il supporto tecnico se si verificano errori ripetuti di rotazione dei segreti.

  3. Facoltativamente, per verificare che tutti i certificati esterni siano stati ruotati, eseguire lo strumento di convalida Test-AzureStack usando lo script seguente:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
    

Ruotare i segreti interni

I segreti interni includono certificati, password, stringhe protette e chiavi usate dall'infrastruttura dell'hub di Azure Stack, senza l'intervento dell'operatore dell'hub di Azure Stack. La rotazione dei segreti interni è necessaria solo se si sospetta che ne sia stato compromesso uno o se è stato ricevuto un avviso di scadenza.

Le distribuzioni pre-1811 possono visualizzare avvisi per le scadenze dei certificati interni o dei segreti in sospeso. Questi avvisi non sono accurati e devono essere ignorati e sono un problema noto risolto nel 1811.

Completare i passaggi seguenti per ruotare i segreti interni:

  1. Eseguire lo script PowerShell seguente. Si noti che per la rotazione interna del segreto, la sezione "Run Secret Rotation" usa solo il -Internal parametro per il cmdlet Start-SecretRotation:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Nota

    Le versioni precedenti alla versione 1811 non richiedono il -Internal flag .

  2. Al termine, nella console verrà visualizzato un ActionPlanInstanceID ... CurrentStatus: Completed messaggio, seguito da Action plan finished with status: 'Completed'.

    Nota

    Se la rotazione dei segreti ha esito negativo, seguire le istruzioni nel messaggio di errore ed eseguire di nuovo Start-SecretRotation con i parametri -Internal e -ReRun.

    Start-SecretRotation -Internal -ReRun
    

    Contattare il supporto tecnico se si verificano errori ripetuti di rotazione dei segreti.

Ruotare il certificato radice dell'hub di Azure Stack

Il provisioning del certificato radice dell'hub di Azure Stack viene effettuato durante la distribuzione con scadenza di cinque anni. A partire dalla versione 2108, anche la rotazione interna del segreto ruota il certificato radice. L'avviso di scadenza del segreto standard identifica la scadenza del certificato radice e genera avvisi sia a 90 (avviso) che a 30 giorni (critici).

Per ruotare il certificato radice, è necessario aggiornare il sistema a 2108 ed eseguire la rotazione interna dei segreti.

Il frammento di codice seguente usa l'endpoint con privilegi per elencare la data di scadenza del certificato radice:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Aggiornare le credenziali BMC

Il controller di gestione della scheda di base monitora lo stato fisico dei server. Per istruzioni su come aggiornare il nome dell'account utente e la password del BMC, fare riferimento al fornitore di hardware OEM (Original Equipment Manufacturer).

Nota

L'OEM può fornire app di gestione aggiuntive. L'aggiornamento del nome utente o della password per altre app di gestione non ha alcun effetto sul nome utente o sulla password BMC.

  1. Aggiornare BMC nei server fisici dell'hub di Azure Stack seguendo le istruzioni OEM. Il nome utente e la password per ogni BMC nell'ambiente devono essere uguali. I nomi utente BMC non possono superare i 16 caratteri.
  1. Non è più necessario aggiornare prima le credenziali BMC nei server fisici dell'hub di Azure Stack seguendo le istruzioni OEM. Il nome utente e la password per ogni BMC nell'ambiente devono essere uguali e non possono superare i 16 caratteri.
  1. Aprire un endpoint con privilegi nelle sessioni dell'hub di Azure Stack. Per istruzioni, vedere Uso dell'endpoint con privilegi nell'hub di Azure Stack.

  2. Dopo aver aperto una sessione di endpoint con privilegi, eseguire uno degli script di PowerShell seguenti, che usano Invoke-Command per eseguire Set-BmcCredential. Se si usa il parametro facoltativo -BypassBMCUpdate con Set-BMCCredential, le credenziali nel BMC non vengono aggiornate. Viene aggiornato solo l'archivio dati interno dell'hub di Azure Stack. Passare la variabile di sessione dell'endpoint con privilegi come parametro.

    Ecco un esempio di script di PowerShell che richiederà il nome utente e la password:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    È anche possibile codificare il nome utente e la password nelle variabili, che potrebbero essere meno sicure:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Riferimento: cmdlet Start-SecretRotation

Il cmdlet Start-SecretRotation ruota i segreti dell'infrastruttura di un sistema hub di Azure Stack. Questo cmdlet può essere eseguito solo nell'endpoint con privilegi dell'hub di Azure Stack usando un Invoke-Command blocco di script che passa la sessione PEP nel -Session parametro. Per impostazione predefinita, ruota solo i certificati di tutti gli endpoint dell'infrastruttura di rete esterna.

Parametro Tipo Necessario Position Predefinito Descrizione
PfxFilesPath string Falso denominata Nessuno Percorso di condivisione file della cartella radice \Certificate contenente tutti i certificati dell'endpoint di rete esterni. È necessario solo quando si ruotano segreti esterni. Il percorso deve terminare con la cartella \Certificates, ad esempio \\<IPAddress>\ShareName>\<Certificates.
CertificatePassword SecureString Falso denominata Nessuno Password per tutti i certificati forniti in -PfXFilesPath. Valore obbligatorio se PfxFilesPath viene fornito quando vengono ruotati i segreti esterni.
Internal string Falso denominata Nessuno Il flag interno deve essere usato in qualsiasi momento in cui un operatore dell'hub di Azure Stack vuole ruotare i segreti dell'infrastruttura interna.
PathAccessCredential PSCredential Falso denominata Nessuno Credenziali di PowerShell per la condivisione file della directory \Certificates contenente tutti i certificati dell'endpoint di rete esterni. È necessario solo quando si ruotano segreti esterni.
ReRun SwitchParameter Falso denominata Nessuno Deve essere usato ogni volta che la rotazione del segreto viene rivalutata dopo un tentativo non riuscito.

Sintassi

Per la rotazione del segreto esterno

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Per la rotazione interna del segreto

Start-SecretRotation [-Internal]  

Per la rotazione del segreto esterno rieseguire

Start-SecretRotation [-ReRun]

Per rieseguire la rotazione interna del segreto

Start-SecretRotation [-ReRun] [-Internal]

Esempio

Ruotare solo i segreti dell'infrastruttura interna

Questo comando deve essere eseguito tramite l'endpoint con privilegi dell'ambiente dell'hub di Azure Stack.

PS C:\> Start-SecretRotation -Internal

Questo comando ruota tutti i segreti dell'infrastruttura esposti alla rete interna dell'hub di Azure Stack.

Ruotare solo i segreti dell'infrastruttura esterna

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Questo comando ruota i certificati TLS usati per gli endpoint dell'infrastruttura di rete esterna dell'hub di Azure Stack.

Ruotare segreti interni ed esterni dell'infrastruttura (solo pre-1811 )

Importante

Questo comando si applica solo all'hub di Azure Stack pre-1811 perché la rotazione è stata suddivisa per i certificati interni ed esterni.

Da 1811+ non è più possibile ruotare certificati interni ed esterni!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Questo comando ruota i segreti dell'infrastruttura esposti alla rete interna dell'hub di Azure Stack e i certificati TLS usati per gli endpoint dell'infrastruttura di rete esterna dell'hub di Azure Stack. Start-SecretRotation ruota tutti i segreti generati dagli stack e, poiché sono disponibili certificati, verranno ruotati anche i certificati endpoint esterni.

Passaggi successivi

Altre informazioni sulla sicurezza dell'hub di Azure Stack