Geheimen roteren in Azure Stack Hub
Dit artikel bevat richtlijnen voor het uitvoeren van geheimrotatie om veilige communicatie met azure Stack Hub-infrastructuurresources en -services te onderhouden.
Overzicht
Azure Stack Hub maakt gebruik van geheimen om veilige communicatie met infrastructuurresources en -services te onderhouden. Om de integriteit van de Azure Stack Hub-infrastructuur te behouden, moeten operators de mogelijkheid hebben om geheimen te roteren met frequenties die consistent zijn met de beveiligingsvereisten van hun organisatie.
Wanneer geheimen bijna verlopen, worden de volgende waarschuwingen gegenereerd in de beheerdersportal. Als u het rouleren van geheimen voltooit, worden deze waarschuwingen opgelost:
- Verlopen van serviceaccountwachtwoord in behandeling
- Verlopen van intern certificaat in behandeling
- Verlopen van extern certificaat in behandeling
Waarschuwing
Er zijn 2 fasen van waarschuwingen geactiveerd in de beheerdersportal voordat ze verlopen:
- 90 dagen voor de vervaldatum wordt een waarschuwing gegenereerd.
- 30 dagen voor de vervaldatum wordt een kritieke waarschuwing gegenereerd.
Het is essentieel dat u het rouleren van geheimen voltooit als u deze meldingen ontvangt. Als u dit niet doet, kan dit leiden tot het verlies van workloads en een mogelijke herimplementatie van Azure Stack Hub op eigen kosten.
Zie Status en waarschuwingen bewaken in Azure Stack Hub voor meer informatie over het bewaken en herstellen van waarschuwingen.
Notitie
Azure Stack Hub-omgevingen in versies van vóór 1811 kunnen waarschuwingen zien voor het verlopen van interne certificaten of geheimen die in behandeling zijn. Deze waarschuwingen zijn onnauwkeurig en moeten worden genegeerd zonder interne geheimrotatie uit te voeren. Onnauwkeurige waarschuwingen voor het verlopen van interne geheimen zijn een bekend probleem dat is opgelost in 1811. Interne geheimen verlopen alleen als de omgeving twee jaar actief is geweest.
Vereisten
Het wordt ten zeerste aanbevolen dat u een ondersteunde versie van Azure Stack Hub uitvoert en dat u de meest recente beschikbare hotfix toepast voor de Azure Stack Hub-versie die op uw exemplaar wordt uitgevoerd. Als u bijvoorbeeld 2008 gebruikt, controleert u of u de meest recente hotfix voor 2008 hebt geïnstalleerd.
Belangrijk
Voor versies van vóór 1811:
- Als het roteren van geheimen al is uitgevoerd, moet u bijwerken naar versie 1811 of hoger voordat u opnieuw de geheime rotatie uitvoert. Geheimrotatie moet worden uitgevoerd via het bevoegde eindpunt en vereist azure Stack Hub-operatorreferenties. Als u niet weet of het rouleren van geheimen is uitgevoerd in uw omgeving, moet u een update uitvoeren naar 1811 voordat u de geheimrotatie uitvoert.
- U hoeft geheimen niet te roteren om extensiehostcertificaten toe te voegen. Volg de instructies in het artikel Voorbereiden op extensiehost voor Azure Stack Hub om extensiehostcertificaten toe te voegen.
Informeer uw gebruikers over geplande onderhoudsbewerkingen. Plan normale onderhoudsvensters zoveel mogelijk in tijdens niet-kantooruren. Onderhoudsbewerkingen kunnen van invloed zijn op zowel gebruikersworkloads als portalbewerkingen.
Genereer aanvragen voor certificaatondertekening voor Azure Stack Hub.
Tijdens het roteren van geheimen kunnen operators waarschuwingen zien die worden geopend en automatisch worden gesloten. Dit is verwacht gedrag en deze waarschuwingen kunnen worden genegeerd. Operators kunnen de geldigheid van deze waarschuwingen controleren met behulp van de PowerShell-cmdlet Test-AzureStack. Operators die System Center Operations Manager gebruiken om Azure Stack Hub-systemen te bewaken en een systeem in de onderhoudsmodus plaatsen, voorkomt dat deze waarschuwingen hun ITSM-systemen bereiken. Er blijven echter waarschuwingen komen als het Azure Stack Hub-systeem onbereikbaar wordt.
Externe geheimen draaien
Belangrijk
Rotatie van extern geheim voor:
- Niet-certificaatgeheimen, zoals beveiligde sleutels en tekenreeksen , moeten handmatig door de beheerder worden uitgevoerd. Dit omvat wachtwoorden voor gebruikers- en beheerdersaccounts en wachtwoorden voor netwerkswitchs.
- RP-geheimen (Value-Add Resource Provider) worden behandeld onder afzonderlijke richtlijnen:
- BMC-referenties (Baseboard Management Controller) is een handmatig proces, dat verderop in dit artikel wordt behandeld.
- Azure Container Registry externe certificaten is een handmatig proces, dat verderop in dit artikel wordt behandeld.
In deze sectie wordt het rouleren van certificaten behandeld die worden gebruikt voor het beveiligen van extern gerichte services. Deze certificaten worden geleverd door de Azure Stack Hub Operator voor de volgende services:
- Beheerdersportal
- Openbare portal
- Azure-Resource Manager voor beheerders
- Wereldwijde Azure Resource Manager
- Beheerders Key Vault
- Key Vault
- Beheer-extensiehost
- ACS (inclusief blob-, tabel- en wachtrijopslag)
- ADFS1
- Grafiek1
- Container Registry2
1Van toepassing bij gebruik van Active Directory Federated Services (ADFS).
2Van toepassing bij gebruik van Azure Container Registry (ACR).
Voorbereiding
Vóór rotatie van externe geheimen:
Voer de
Test-AzureStack
PowerShell-cmdlet uit met behulp van de-group SecretRotationReadiness
parameter om te controleren of alle testuitvoer in orde is voordat geheimen worden gedraaid.Bereid een nieuwe set vervangende externe certificaten voor:
De nieuwe set moet overeenkomen met de certificaatspecificaties die worden beschreven in de PKI-certificaatvereisten voor Azure Stack Hub.
Genereer een aanvraag voor certificaatondertekening (CSR) om naar uw certificeringsinstantie (CA) te verzenden. Gebruik de stappen die worden beschreven in Aanvragen voor certificaatondertekening genereren en bereid deze voor op gebruik in uw Azure Stack Hub-omgeving met behulp van de stappen in PKI-certificaten voorbereiden. Azure Stack Hub ondersteunt rotatie van geheimen voor externe certificaten van een nieuwe certificeringsinstantie (CA) in de volgende contexten:
Draaien vanuit CA Draaien naar CA Versieondersteuning voor Azure Stack Hub Self-Signed Enterprise 1903 & later Self-Signed Self-Signed Niet ondersteund Self-Signed Openbaar* 1803 & later Enterprise Enterprise 1803 & later; 1803-1903 als DEZELFDE ondernemings-CA zoals gebruikt bij de implementatie Enterprise Self-Signed Niet ondersteund Enterprise Openbaar* 1803 & later Openbaar* Enterprise 1903 & later Openbaar* Self-Signed Niet ondersteund Openbaar* Openbaar* 1803 & later *Onderdeel van het vertrouwde Windows-basisprogramma.
Zorg ervoor dat u de certificaten valideert die u voorbereidt met de stappen die worden beschreven in PKI-certificaten valideren
Zorg ervoor dat het wachtwoord geen speciale tekens bevat, zoals bijvoorbeeld
$
,*
,#
,@
)or
'.Zorg ervoor dat de PFX-versleuteling TripleDES-SHA1 is. Als u een probleem ondervindt, raadpleegt u Veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub oplossen.
Sla een back-up op voor de certificaten die worden gebruikt voor rotatie in een veilige back-uplocatie. Als de rotatie wordt uitgevoerd en vervolgens mislukt, vervangt u de certificaten in de bestandsshare door de back-upkopieën voordat u de rotatie opnieuw uitvoert. Bewaar back-upkopieën op de veilige back-uplocatie.
Maak een bestandsshare die u kunt openen vanaf de ERCS-VM's. De bestandsshare moet leesbaar en beschrijfbaar zijn voor de CloudAdmin-identiteit .
Open een PowerShell ISE-console vanaf een computer waarop u toegang hebt tot de bestandsshare. Navigeer naar uw bestandsshare, waar u mappen maakt om uw externe certificaten te plaatsen.
Maak een map in de bestandsshare met de naam
Certificates
. Maak in de map certificaten een submap met de naamAAD
ofADFS
, afhankelijk van de id-provider die uw hub gebruikt. Bijvoorbeeld .\Certificates\AAD of .\Certificates\ADFS. Naast de map certificaten en de submap van de id-provider mogen hier geen andere mappen worden gemaakt.Kopieer de nieuwe set vervangende externe certificaten die u in stap 2 hebt gemaakt, naar de map .\Certificates\<IdentityProvider> die u in stap 6 hebt gemaakt. Zoals hierboven vermeld, moet de submap van uw id-provider of
ADFS
zijnAAD
. Zorg ervoor dat de alternatieve onderwerpnamen (SAN's) van uw vervangende externe certificaten decert.<regionName>.<externalFQDN>
indeling volgen die is opgegeven in PKI-certificaatvereisten (Public Key Infrastructure) van Azure Stack Hub.Hier volgt een voorbeeld van een mapstructuur voor de Microsoft Entra id-provider:
<ShareName> │ └───Certificates └───AAD ├───ACSBlob │ <CertName>.pfx │ ├───ACSQueue │ <CertName>.pfx │ ├───ACSTable │ <CertName>.pfx │ ├───Admin Extension Host │ <CertName>.pfx │ ├───Admin Portal │ <CertName>.pfx │ ├───ARM Admin │ <CertName>.pfx │ ├───ARM Public │ <CertName>.pfx │ ├───Container Registry* │ <CertName>.pfx │ ├───KeyVault │ <CertName>.pfx │ ├───KeyVaultInternal │ <CertName>.pfx │ ├───Public Extension Host │ <CertName>.pfx │ └───Public Portal <CertName>.pfx
*Van toepassing bij het gebruik van Azure Container Registry (ACR) voor Microsoft Entra-id en ADFS.
Notitie
Als u externe Container Registry-certificaten roteert, moet u handmatig een Container Registry
submap maken in de submap van de id-provider. Daarnaast moet u het bijbehorende PFX-certificaat opslaan in deze handmatig gemaakte submap.
Rotatie
Voer de volgende stappen uit om externe geheimen te roteren:
Gebruik het volgende PowerShell-script om de geheimen te roteren. Het script vereist toegang tot een PEP-sessie (Privileged EndPoint). Het PEP wordt geopend via een externe PowerShell-sessie op de virtuele machine (VM) die als host fungeert voor het PEP. Als u een geïntegreerd systeem gebruikt, zijn er drie exemplaren van het PEP, die elk worden uitgevoerd in een VM (Prefix-ERCS01, Prefix-ERCS02 of Prefix-ERCS03) op verschillende hosts. Met het script voert u de volgende stappen uit:
Hiermee maakt u een PowerShell-sessie met het Privileged-eindpunt met behulp van het CloudAdmin-account en slaat u de sessie op als een variabele. Deze variabele wordt gebruikt als een parameter in de volgende stap.
Voert Invoke-Command uit, waarbij de PEP-sessievariabele wordt doorgegeven als de
-Session
parameter.Wordt uitgevoerd
Start-SecretRotation
in de PEP-sessie, met behulp van de volgende parameters. Zie de naslaginformatie Start-SecretRotation voor meer informatie:Parameter Variabele Beschrijving -PfxFilesPath
$CertSharePath Het netwerkpad naar de basismap van uw certificaten, zoals besproken in stap 6 van de sectie Voorbereiding, bijvoorbeeld \\<IPAddress>\<ShareName>\Certificates
.-PathAccessCredential
$CertShareCreds Het PSCredential-object voor referenties voor de share. -CertificatePassword
$CertPassword Een beveiligde tekenreeks van het wachtwoord dat wordt gebruikt voor alle pfx-certificaatbestanden die zijn gemaakt.
# Create a PEP session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run secret rotation $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force $CertShareCreds = Get-Credential $CertSharePath = "<Network_Path_Of_CertShare>" Invoke-Command -Session $PEPsession -ScriptBlock { param($CertSharePath, $CertPassword, $CertShareCreds ) Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds) Remove-PSSession -Session $PEPSession
Externe geheimrotatie duurt ongeveer een uur. Nadat de console is voltooid, wordt een
ActionPlanInstanceID ... CurrentStatus: Completed
bericht weergegeven, gevolgd doorAction plan finished with status: 'Completed'
. Verwijder uw certificaten uit de share die is gemaakt in de sectie Voorbereiding en sla ze op de beveiligde back-uplocatie op.Notitie
Als het roteren van het geheim mislukt, volgt u de instructies in het foutbericht en voert u deze opnieuw uit
Start-SecretRotation
met de-ReRun
parameter .Start-SecretRotation -ReRun
Neem contact op met de ondersteuning als u herhaaldelijk fouten ondervindt bij het roteren van geheimen.
Als u wilt controleren of alle externe certificaten zijn geroteerd, voert u het validatieprogramma Test-AzureStack uit met behulp van het volgende script:
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
Interne geheimen roteren
Interne geheimen omvatten certificaten, wachtwoorden, beveiligde tekenreeksen en sleutels die worden gebruikt door de Azure Stack Hub-infrastructuur zonder tussenkomst van de Azure Stack Hub-operator. Rotatie van interne geheimen is alleen vereist als u vermoedt dat er een is aangetast of als u een vervaldatumwaarschuwing hebt ontvangen.
Implementaties van vóór 1811 kunnen waarschuwingen zien voor in behandeling zijnde interne certificaten of geheime vervaldatums. Deze waarschuwingen zijn onnauwkeurig en moeten worden genegeerd en zijn een bekend probleem opgelost in 1811.
Voer de volgende stappen uit om interne geheimen te roteren:
Voer het volgende PowerShell-script uit. Voor interne geheimrotatie gebruikt de sectie 'Run Secret Rotation' alleen de
-Internal
parameter voor de cmdlet Start-SecretRotation:# Create a PEP Session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run Secret Rotation Invoke-Command -Session $PEPSession -ScriptBlock { Start-SecretRotation -Internal } Remove-PSSession -Session $PEPSession
Notitie
Versies van vóór 1811 vereisen de
-Internal
vlag niet.Nadat de console is voltooid, wordt een
ActionPlanInstanceID ... CurrentStatus: Completed
bericht weergegeven, gevolgd doorAction plan finished with status: 'Completed'
.Notitie
Als het roteren van geheimen mislukt, volgt u de instructies in het foutbericht en voert u
Start-SecretRotation
opnieuw uit met de parameters-Internal
en-ReRun
.Start-SecretRotation -Internal -ReRun
Neem contact op met de ondersteuning als u herhaaldelijk fouten ondervindt bij het roteren van geheimen.
Azure Stack Hub-basiscertificaat draaien
Het Azure Stack Hub-basiscertificaat wordt tijdens de implementatie ingericht met een verloop van vijf jaar. Vanaf 2108 roteert interne geheimrotatie ook het basiscertificaat. De standaardwaarschuwing voor het verlopen van geheimen identificeert de vervaldatum van het basiscertificaat en genereert waarschuwingen op zowel 90 (waarschuwing) als 30 (kritieke) dagen.
Als u het basiscertificaat wilt roteren, moet u uw systeem bijwerken naar 2108 en interne geheimrotatie uitvoeren.
In het volgende codefragment wordt het bevoegde eindpunt gebruikt om de vervaldatum van het basiscertificaat weer te geven:
$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }
$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan
De BMC-referentie bijwerken
De baseboard-beheercontroller bewaakt de fysieke status van uw servers. Raadpleeg de hardwareleverancier van de OEM (Original Equipment Manufacturer) voor instructies voor het bijwerken van de gebruikersnaam en het wachtwoord van de BMC.
Notitie
Uw OEM biedt mogelijk aanvullende beheer-apps. Het bijwerken van de gebruikersnaam of het wachtwoord voor andere beheer-apps heeft geen invloed op de gebruikersnaam of het wachtwoord van de BMC.
- Werk de BMC op de fysieke Azure Stack Hub-servers bij door de OEM-instructies te volgen. De gebruikersnaam en het wachtwoord voor elke BMC in uw omgeving moeten hetzelfde zijn. De BMC-gebruikersnamen mogen niet langer zijn dan 16 tekens.
- Het is niet langer vereist dat u eerst de BMC-referenties op de fysieke Azure Stack Hub-servers bijwerkt door de OEM-instructies te volgen. De gebruikersnaam en het wachtwoord voor elke BMC in uw omgeving moeten hetzelfde zijn en mogen niet langer zijn dan 16 tekens.
Open een bevoegd eindpunt in Azure Stack Hub-sessies. Zie Het bevoegde eindpunt gebruiken in Azure Stack Hub voor instructies.
Nadat u een bevoegde eindpuntsessie hebt geopend, voert u een van de onderstaande PowerShell-scripts uit, die Invoke-Command gebruiken om Set-BmcCredential uit te voeren. Als u de optionele parameter -BypassBMCUpdate gebruikt met Set-BMCCredential, worden referenties in de BMC niet bijgewerkt. Alleen het interne gegevensarchief van Azure Stack Hub wordt bijgewerkt. Geef de sessievariabele van uw bevoegde eindpunt door als een parameter.
Hier volgt een voorbeeld van een PowerShell-script waarmee wordt gevraagd om de gebruikersnaam en het wachtwoord:
# Interactive Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials" $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString $NewBmcUser = Read-Host -Prompt "Enter New BMC user name" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
U kunt ook de gebruikersnaam en het wachtwoord coderen in variabelen, die mogelijk minder veilig zijn:
# Static Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>" $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd) $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force $NewBmcUser = "<New BMC User name>" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Naslaginformatie: Start-SecretRotation cmdlet
De cmdlet Start-SecretRotation roteert de infrastructuurgeheimen van een Azure Stack Hub-systeem. Deze cmdlet kan alleen worden uitgevoerd op het bevoegde Eindpunt van Azure Stack Hub, met behulp van een Invoke-Command
scriptblok dat de PEP-sessie doorgeeft in de -Session
parameter. Standaard worden alleen de certificaten van alle eindpunten van de externe netwerkinfrastructuur geroteerd.
Parameter | Type | Vereist | Positie | Standaard | Beschrijving |
---|---|---|---|---|---|
PfxFilesPath |
Tekenreeks | False | Naam | Geen | Het bestandssharepad naar de hoofdmap \Certificates die alle eindpuntcertificaten van het externe netwerk bevat. Alleen vereist bij het roteren van externe geheimen. Het pad moet eindigen op de map \Certificates , bijvoorbeeld \\<IPAddress>\<ShareName>\Certificates. |
CertificatePassword |
SecureString | Niet waar | Naam | Geen | Het wachtwoord voor alle certificaten die zijn opgegeven in -PfXFilesPath. Vereiste waarde als PfxFilesPath wordt opgegeven wanneer externe geheimen worden geroteerd. |
Internal |
Tekenreeks | Niet waar | Naam | Geen | Interne vlag moet worden gebruikt wanneer een Azure Stack Hub-operator interne infrastructuurgeheimen wil rouleren. |
PathAccessCredential |
PSCredential | False | Naam | Geen | De PowerShell-referentie voor de bestandsshare van de map \Certificates die alle externe netwerkeindpuntcertificaten bevat. Alleen vereist bij het roteren van externe geheimen. |
ReRun |
SwitchParameter | False | Naam | Geen | Moet worden gebruikt wanneer de geheimrotatie opnieuw wordt uitgevoerd na een mislukte poging. |
Syntax
Voor rotatie van extern geheim
Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]
Voor interne geheimrotatie
Start-SecretRotation [-Internal]
Voor rotatie van extern geheim opnieuw uitvoeren
Start-SecretRotation [-ReRun]
Voor interne geheimrotatie opnieuw uitvoeren
Start-SecretRotation [-ReRun] [-Internal]
Voorbeelden
Alleen interne infrastructuurgeheimen roteren
Deze opdracht moet worden uitgevoerd via het bevoegde eindpunt van uw Azure Stack Hub-omgeving.
PS C:\> Start-SecretRotation -Internal
Met deze opdracht roteert u alle infrastructuurgeheimen die beschikbaar zijn voor het interne netwerk van Azure Stack Hub.
Alleen geheimen van externe infrastructuur roteren
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
param($CertSharePath, $CertPassword, $CertShareCreds )
Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession
Met deze opdracht roteert u de TLS-certificaten die worden gebruikt voor de eindpunten van de externe netwerkinfrastructuur van Azure Stack Hub.
Interne en externe infrastructuurgeheimen roteren (alleen vóór 1811 )
Belangrijk
Deze opdracht is alleen van toepassing op Azure Stack Hub pre-1811 omdat de rotatie is gesplitst voor interne en externe certificaten.
Vanaf 1811+ kunt u zowel interne als externe certificaten niet meer draaien!
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession
Met deze opdracht worden de infrastructuurgeheimen geroteerd die beschikbaar zijn voor het interne Azure Stack Hub-netwerk en de TLS-certificaten die worden gebruikt voor de eindpunten van de externe netwerkinfrastructuur van Azure Stack Hub. Start-SecretRotation alle door de stack gegenereerde geheimen roteert en omdat er certificaten zijn opgegeven, worden ook certificaten voor externe eindpunten geroteerd.