Azure Stack Hub’da gizli dizilerin rotasyonunu yapma

Bu makalede, Azure Stack Hub altyapı kaynakları ve hizmetleriyle güvenli iletişimi sürdürmeye yardımcı olmak için gizli dizi döndürme gerçekleştirmeye yönelik yönergeler sağlanır.

Genel Bakış

Azure Stack Hub, altyapı kaynakları ve hizmetleriyle güvenli iletişimi sürdürmek için gizli dizileri kullanır. Azure Stack Hub altyapısının bütünlüğünü korumak için operatörlerin, kuruluşlarının güvenlik gereksinimleriyle tutarlı olan gizli dizileri sıklıklarda döndürebilmeleri gerekir.

Gizli dizilerin süresi dolduğunda, yönetici portalında aşağıdaki uyarılar oluşturulur. Gizli dizi döndürmenin tamamlanması şu uyarıları çözer:

• Hizmet hesabı parolasının süre sonu bekleniyor
• Beklemedeki iç sertifika süre sonu
• Beklemedeki dış sertifika süre sonu

Uyarı

Süre dolmadan önce yönetici portalında tetiklenen uyarıların 2 aşaması vardır:

• Süre dolmadan 90 gün önce bir uyarı oluşturulur.
• Süre dolmadan 30 gün önce kritik bir uyarı oluşturulur.

Bu bildirimleri alırsanız gizli dizi döndürmeyi tamamlamanız önemlidir . Bunun yapılmaması, iş yüklerinin kaybına ve olası Azure Stack Hub yeniden dağıtımını sizin masrafınıza neden olabilir!

Uyarı izleme ve düzeltme hakkında daha fazla bilgi için bkz. Azure Stack Hub'da sistem durumunu ve uyarıları izleme.

Önkoşullar

1. Azure Stack Hub'ın desteklenen bir sürümünü çalıştırmanız ve örneğinizin çalıştırılan Azure Stack Hub sürümü için en son kullanılabilir düzeltmeyi uygulamanız kesinlikle önerilir. Örneğin, 2008 çalıştırıyorsanız 2008 için kullanılabilen en son düzeltmeyi yüklediğinizden emin olun.

2. Kullanıcılarınıza planlı bakım işlemlerini bildirin. İş dışı saatlerde mümkün olduğunca normal bakım pencereleri zamanlayın. Bakım işlemleri hem kullanıcı iş yüklerini hem de portal işlemlerini etkileyebilir.

3. Azure Stack Hub için sertifika imzalama istekleri oluşturun.

4. Azure Stack Hub PKI sertifikalarını hazırlama.

5. Gizli dizilerin rotasyonu sırasında işleçler uyarıların açılıp otomatik olarak kapanabileceğini fark edebilir. Bu beklenen bir davranıştır ve uyarılar yoksayılabilir. operatörler , Test-AzureStack PowerShell cmdlet'ini kullanarak bu uyarıların geçerliliğini doğrulayabilir. Operatörler için, Azure Stack Hub sistemlerini izlemek için System Center Operations Manager kullanmak, bir sistemin bakım moduna alınması bu uyarıların ITSM sistemlerine ulaşmasını engeller. Ancak Azure Stack Hub sistemine ulaşılamaz duruma gelirse uyarılar gelmeye devam eder.

Dış gizli dizileri döndürme

Önemli

Dış gizli dizi döndürme:

• Güvenli anahtarlar ve dizeler gibi sertifika dışı gizli diziler yönetici tarafından el ile yapılmalıdır. Buna kullanıcı ve yönetici hesabı parolaları ve ağ anahtarı parolaları dahildir.
• Değer ekleme kaynak sağlayıcısı (RP) gizli dizileri ayrı yönergeler altında ele alınmıştır:
  • Azure Stack Hub üzerinde App Service
  • Azure Stack Hub üzerinde Event Hubs
  • Azure Stack Hub'da MySQL
  • Azure Stack Hub'da SQL
• Temel kart yönetim denetleyicisi (BMC) kimlik bilgileri , bu makalenin devamında ele alınan el ile gerçekleştirilen bir işlemdir.
• dış sertifikaları Azure Container Registry, bu makalenin devamında ele alınan el ile gerçekleştirilen bir işlemdir.

Bu bölümde, dış kullanıma yönelik hizmetlerin güvenliğini sağlamak için kullanılan sertifikaların rotasyonu açıklanmıştır. Bu sertifikalar aşağıdaki hizmetler için Azure Stack Hub Operatörü tarafından sağlanır:

• Yönetici portalı
• Genel portal
• Yönetici Azure Resource Manager
• Genel Azure Resource Manager
• Yönetici Key Vault
• Key Vault
• uzantı kona Yönetici
• ACS (blob, tablo ve kuyruk depolama dahil)
• ADFS¹
• Grafik¹
• Kapsayıcı Kayıt Defteri²

¹Active Directory Federasyon Hizmetleri (ADFS) kullanılırken geçerlidir.

²Azure Container Registry (ACR) kullanılırken geçerlidir.

Hazırlık

Dış gizli dizileri döndürmeden önce:

1. Test-AzureStack Gizli dizileri döndürmeden önce tüm test çıkışlarının iyi durumda olduğunu onaylamak için parametresini kullanarak -group SecretRotationReadiness PowerShell cmdlet'ini çalıştırın.

2. Yeni bir yedek dış sertifika kümesi hazırlayın:

   • Yeni küme, Azure Stack Hub PKI sertifika gereksinimlerinde belirtilen sertifika belirtimleriyle eşleşmelidir.

   • Sertifika Yetkilinize (CA) göndermek için bir sertifika imzalama isteği (CSR) oluşturun. PKI sertifikalarını hazırlama bölümündeki adımları kullanarak Sertifika imzalama istekleri oluşturma ve bunları Azure Stack Hub ortamınızda kullanıma hazırlama bölümünde açıklanan adımları kullanın. Azure Stack Hub, aşağıdaki bağlamlarda yeni bir Sertifika Yetkilisi'nden (CA) dış sertifikalar için gizli dizi döndürmeyi destekler:

     CA'dan döndür	CA'ya döndürme	Azure Stack Hub sürüm desteği
     Self-Signed	Kurumsal	1903 & sonrası
     Self-Signed	Self-Signed	Desteklenmiyor
     Self-Signed	Genel*	1803 & sonrası
     Kurumsal	Kurumsal	1803 & sonrası; 1803-1903, dağıtımda kullanılan AYNı kurumsal CA ise
     Kurumsal	Self-Signed	Desteklenmiyor
     Kurumsal	Genel*	1803 & sonrası
     Genel*	Kurumsal	1903 & sonrası
     Genel*	Self-Signed	Desteklenmiyor
     Genel*	Genel*	1803 & sonrası

     ^*Windows Güvenilen Kök Programı'nın bir parçası.

   • PKI Sertifikalarını Doğrulama bölümünde açıklanan adımlarla hazırladığınız sertifikaları doğruladığınızdan emin olun

   • Parolada ,*,#@or)' gibi $özel karakterler olmadığından emin olun.

   • PFX şifrelemesinin TripleDES-SHA1 olduğundan emin olun. Bir sorunla karşılaşırsanız bkz. Azure Stack Hub PKI sertifikalarıyla ilgili yaygın sorunları düzeltme.

3. Döndürmek için kullanılan sertifikalara bir yedeklemeyi güvenli bir yedekleme konumunda depolayın. Döndürme işleminiz çalıştırılır ve başarısız olursa, döndürmeyi yeniden çalıştırmadan önce dosya paylaşımındaki sertifikaları yedek kopyalarla değiştirin. Yedek kopyaları güvenli yedekleme konumunda tutun.

4. ERCS VM'lerinden erişebileceğiniz bir dosya paylaşımı oluşturun. CloudAdmin kimliği için dosya paylaşımı okunabilir ve yazılabilir olmalıdır.

5. Dosya paylaşımına erişiminiz olan bir bilgisayardan PowerShell ISE konsolunu açın. Dış sertifikalarınızı yerleştirmek için dizinler oluşturduğunuz dosya paylaşımınıza gidin.

6. Dosya paylaşımında adlı Certificatesbir klasör oluşturun. Sertifikalar klasörünün içinde, Hub'ınızın kullandığı kimlik sağlayıcısına bağlı olarak veya ADFSadlı AAD bir alt klasör oluşturun. Örneğin, .\Certificates\AAD veya .\Certificates\ADFS. Burada sertifikalar klasörü ve kimlik sağlayıcısı alt klasörü dışında başka klasör oluşturulmamalıdır.

7. 2. adımda oluşturulan yeni dış sertifika kümesini 6. adımda oluşturulan .\Certificates\<IdentityProvider> klasörüne kopyalayın. Yukarıda belirtildiği gibi, kimlik sağlayıcısı alt klasörünüz veya ADFSolmalıdırAAD. Lütfen yeni dış sertifikalarınızın konu alternatif adlarının (SAN) Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimlerinde belirtilen biçime uygun cert.<regionName>.<externalFQDN> olduğundan emin olun.

   aşağıda Microsoft Entra kimlik Sağlayıcısı için bir klasör yapısı örneği verilmişti:

       <ShareName>
           │
           └───Certificates
                 └───AAD
                     ├───ACSBlob
                     │       <CertName>.pfx
                     │
                     ├───ACSQueue
                     │       <CertName>.pfx
                     │
                     ├───ACSTable
                     │       <CertName>.pfx
                     │
                     ├───Admin Extension Host
                     │       <CertName>.pfx
                     │
                     ├───Admin Portal
                     │       <CertName>.pfx
                     │
                     ├───ARM Admin
                     │       <CertName>.pfx
                     │
                     ├───ARM Public
                     │       <CertName>.pfx
                     │
                     ├───Container Registry*
                     │       <CertName>.pfx
                     │
                     ├───KeyVault
                     │       <CertName>.pfx
                     │
                     ├───KeyVaultInternal
                     │       <CertName>.pfx
                     │
                     ├───Public Extension Host
                     │       <CertName>.pfx
                     │
                     └───Public Portal
                             <CertName>.pfx
   

^*Microsoft Entra Kimliği ve ADFS için Azure Container Registry (ACR) kullanılırken geçerlidir.

Not

Dış Container Registry sertifikalarını döndüriyorsanız, kimlik sağlayıcısı alt klasöründe el ile bir Container Registry alt klasör oluşturmanız gerekir. Ayrıca, karşılık gelen .pfx sertifikasını el ile oluşturulan bu alt klasörde depolamanız gerekir.

Döndürme

Dış gizli dizileri döndürmek için aşağıdaki adımları tamamlayın:

1. Gizli dizileri döndürmek için aşağıdaki PowerShell betiğini kullanın. Betik, Privileged EndPoint (PEP) oturumuna erişim gerektirir. PEP'ye PEP'yi barındıran sanal makinede (VM) uzak bir PowerShell oturumu üzerinden erişilir. Tümleşik bir sistem kullanıyorsanız, her biri farklı konaklarda bir VM içinde (Prefix-ERCS01, Prefix-ERCS02 veya Prefix-ERCS03) çalışan üç PEP örneği vardır. Betik aşağıdaki adımları gerçekleştirir:

   • CloudAdmin hesabını kullanarak Privileged uç noktasıyla bir PowerShell Oturumu oluşturur ve oturumu değişken olarak depolar. Bu değişken bir sonraki adımda parametre olarak kullanılır.

   • Invoke-Command komutunu çalıştırarak PEP oturum değişkenini -Session parametre olarak geçirir.

   • Aşağıdaki parametreleri kullanarak PEP oturumunda çalışır Start-SecretRotation . Daha fazla bilgi için bkz. Start-SecretRotation başvurusu:

     Parametre	Değişken	Açıklama
     -PfxFilesPath	$CertSharePath	Örneğin, Hazırlık bölümünün\\<IPAddress>\<ShareName>\Certificates 6. adımında açıklandığı gibi sertifika kök klasörünüzün ağ yolu.
     -PathAccessCredential	$CertShareCreds	Paylaşım kimlik bilgileri için PSCredential nesnesi.
     -CertificatePassword	$CertPassword	Oluşturulan tüm pfx sertifika dosyaları için kullanılan parolanın güvenli dizesi.

   # Create a PEP session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run secret rotation
   $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
   $CertShareCreds = Get-Credential
   $CertSharePath = "<Network_Path_Of_CertShare>"
   Invoke-Command -Session $PEPsession -ScriptBlock {
       param($CertSharePath, $CertPassword, $CertShareCreds )
       Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
   } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
   Remove-PSSession -Session $PEPSession
   

2. Dış gizli dizi döndürme yaklaşık bir saat sürer. Başarıyla tamamlandıktan sonra konsolunuz bir ActionPlanInstanceID ... CurrentStatus: Completed ileti görüntüler ve ardından Action plan finished with status: 'Completed'öğesini görüntüler. Sertifikalarınızı Hazırlık bölümünde oluşturulan paylaşımdan kaldırın ve güvenli yedekleme konumlarında depolayın.

   Not

   Gizli dizi döndürme başarısız olursa, hata iletisindeki yönergeleri izleyin ve parametresiyle -ReRun yeniden çalıştırınStart-SecretRotation.

   Start-SecretRotation -ReRun
   

   Yinelenen gizli dizi döndürme hatalarıyla karşılaşırsanız desteğe başvurun.

3. İsteğe bağlı olarak, tüm dış sertifikaların döndürüldüğünü onaylamak için aşağıdaki betiği kullanarak Test-AzureStack doğrulama aracını çalıştırın:

   Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
   

İç gizli dizileri döndürme

İç gizli diziler, Azure Stack Hub Operatörünün müdahalesi olmadan Azure Stack Hub altyapısı tarafından kullanılan sertifikaları, parolaları, güvenli dizeleri ve anahtarları içerir. İç gizli dizi döndürme işlemi yalnızca bir gizli dizinin gizliliği tehlikeye atıldıysa veya bir süre sonu uyarısı aldıysanız gereklidir.

İç gizli dizileri döndürmek için aşağıdaki adımları tamamlayın:

1. Aşağıdaki PowerShell betiğini çalıştırın. İç gizli dizi döndürme için bildirim, "Gizli Dizi Döndürmeyi Çalıştır" bölümü yalnızca -InternalStart-SecretRotation cmdlet'i için parametresini kullanır:

   # Create a PEP Session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run Secret Rotation
   Invoke-Command -Session $PEPSession -ScriptBlock {
       Start-SecretRotation -Internal
   }
   Remove-PSSession -Session $PEPSession
   

2. Başarıyla tamamlandıktan sonra konsolunuz bir ActionPlanInstanceID ... CurrentStatus: Completed ileti görüntüler ve ardından Action plan finished with status: 'Completed'öğesini görüntüler.

   Not

   Gizli dizi döndürme başarısız olursa, hata iletisindeki yönergeleri izleyin ve Start-SecretRotation komutunu -Internal ve -ReRun parametreleriyle yeniden çalıştırın.

   Start-SecretRotation -Internal -ReRun
   

   Yinelenen gizli dizi döndürme hatalarıyla karşılaşırsanız desteğe başvurun.

Azure Stack Hub kök sertifikayı döndürme

Azure Stack Hub kök sertifikası, dağıtım sırasında beş yıl süreyle sağlanır. 2108'den başlayarak, iç gizli dizi döndürme de kök sertifikayı döndürür. Standart gizli dizi süre sonu uyarısı, kök sertifikanın süre sonunu tanımlar ve hem 90 (uyarı) hem de 30 (kritik) günde uyarılar oluşturur.

Kök sertifikayı döndürmek için sisteminizi 2108'e güncelleştirmeniz ve iç gizli dizi döndürme gerçekleştirmeniz gerekir.

Aşağıdaki kod parçacığı, kök sertifikanın sona erme tarihini listelemek için Privileged Endpoint kullanır:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

BMC kimlik bilgilerini güncelleştirme

Temel kart yönetim denetleyicisi sunucularınızın fiziksel durumunu izler. BMC'nin kullanıcı hesabı adını ve parolasını güncelleştirme yönergeleri için özgün donanım üreticinize (OEM) başvurun.

Not

OEM'niz ek yönetim uygulamaları sağlayabilir. Diğer yönetim uygulamalarının kullanıcı adını veya parolasını güncelleştirmenin BMC kullanıcı adı veya parolası üzerinde hiçbir etkisi yoktur.

1. Artık OEM yönergelerinizi izleyerek önce Azure Stack Hub fiziksel sunucularında BMC kimlik bilgilerini güncelleştirmeniz gerekmez. Ortamınızdaki her BMC için kullanıcı adı ve parola aynı olmalıdır ve 16 karakteri aşamaz.

2. Azure Stack Hub oturumlarında ayrıcalıklı bir uç nokta açın. Yönergeler için bkz. Azure Stack Hub'da ayrıcalıklı uç noktayı kullanma.

3. Ayrıcalıklı bir uç nokta oturumu açtıktan sonra, Set-BmcCredential komutunu çalıştırmak için Invoke-Command kullanan aşağıdaki PowerShell betiklerinden birini çalıştırın. Set-BMCCredential ile isteğe bağlı -BypassBMCUpdate parametresini kullanırsanız, BMC'deki kimlik bilgileri güncelleştirilmez. Yalnızca Azure Stack Hub iç veri deposu güncelleştirilir. Ayrıcalıklı uç nokta oturum değişkeninizi parametre olarak geçirin.

   Aşağıda kullanıcı adı ve parola isteyecek örnek bir PowerShell betiği verilmiştir:

   # Interactive Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
   $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
   $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

   Kullanıcı adını ve parolayı daha az güvenli olabilecek değişkenlerde de kodlayabilirsiniz:

   # Static Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
   $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
   $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
   $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
   $NewBmcUser = "<New BMC User name>"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

Başvuru: Start-SecretRotation cmdlet'i

Start-SecretRotation cmdlet'i bir Azure Stack Hub sisteminin altyapı gizli dizilerini döndürür. Bu cmdlet yalnızca parametrede PEP oturumunu -Session geçiren bir Invoke-Command betik bloğu kullanılarak Azure Stack Hub ayrıcalıklı uç noktasında yürütülebilir. Varsayılan olarak, yalnızca tüm dış ağ altyapısı uç noktalarının sertifikalarını döndürür.

Parametre	Tür	Gerekli	Position	Varsayılan	Açıklama
PfxFilesPath	Dize	Yanlış	Adlı	Hiçbiri	Tüm dış ağ uç noktası sertifikalarını içeren \Certificates kök klasörünün dosya paylaşımı yolu. Yalnızca dış gizli diziler döndürülirken gereklidir. Yol \Sertifikalar klasörüyle bitmelidir, örneğin \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword	Securestring	Yanlış	Adlı	Hiçbiri	-PfXFilesPath'te sağlanan tüm sertifikaların parolası. Dış gizli diziler döndürüldüğünde PfxFilesPath sağlanıyorsa gerekli değer.
Internal	Dize	Yanlış	Adlı	Hiçbiri	Azure Stack Hub operatörü iç altyapı gizli dizilerini döndürmek istediğinde iç bayrağın kullanılması gerekir.
PathAccessCredential	PSCredential	Yanlış	Adlı	Hiçbiri	Tüm dış ağ uç noktası sertifikalarını içeren \Certificates dizininin dosya paylaşımı için PowerShell kimlik bilgisi. Yalnızca dış gizli diziler döndürülirken gereklidir.
ReRun	SwitchParameter	Yanlış	Adlı	Hiçbiri	Başarısız bir girişimden sonra gizli dizi döndürme yeniden denendikten sonra her zaman kullanılmalıdır.

Syntax

Dış gizli dizi döndürme için

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

İç gizli dizi döndürme için

Start-SecretRotation [-Internal]  

Dış gizli dizi döndürme yeniden çalıştırması için

Start-SecretRotation [-ReRun]

İç gizli dizi döndürme yeniden çalıştırması için

Start-SecretRotation [-ReRun] [-Internal]

Örnekler

Yalnızca iç altyapı gizli dizilerini döndürme

Bu komut, Azure Stack Hub ortamınızın ayrıcalıklı uç noktası üzerinden çalıştırılmalıdır.

PS C:\> Start-SecretRotation -Internal

Bu komut, Azure Stack Hub iç ağına sunulan tüm altyapı gizli dizilerini döndürür.

Yalnızca dış altyapı gizli dizilerini döndürme

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Bu komut, Azure Stack Hub'ın dış ağ altyapısı uç noktaları için kullanılan TLS sertifikalarını döndürür.

Sonraki adımlar

Azure Stack Hub güvenliği hakkında daha fazla bilgi edinin