Azure Stack Hub’da gizli dizilerin rotasyonunu yapma

Bu makalede, Azure Stack Hub altyapı kaynakları ve hizmetleriyle güvenli iletişimin korunmasına yardımcı olmak için gizli dizi döndürme gerçekleştirmeye yönelik yönergeler sağlanır.

Genel bakış

Azure Stack Hub, altyapı kaynakları ve hizmetleriyle güvenli iletişimi sürdürmek için gizli bilgileri kullanır. Azure Stack Hub altyapısının bütünlüğünü korumak için operatörlerin, kuruluşlarının güvenlik gereksinimleriyle tutarlı olan gizli dizileri sıklıklarda döndürebilmeleri gerekir.

Sırların son kullanma tarihi yaklaştığında, yönetici portalında aşağıdaki uyarılar oluşturulur. Gizli anahtar rotasyonunun tamamlanması şu uyarıları çözer:

• Hizmet hesabı parolasının süresi dolmak üzere
• Yaklaşan iç sertifika süresi bitişi
• Yaklaşan dış sertifika süresinin dolması

Uyarı

Süre dolmadan önce yönetici portalında tetiklenen 2 uyarı aşaması vardır:

• Süre dolmadan 90 gün önce bir uyarı oluşturulur.
• Süre dolmadan 30 gün önce kritik bir uyarı oluşturulur.

Bu bildirimleri alırsanız gizli döngüyü tamamlamanız kritik önem taşır. Başarısızlık, iş yüklerinin kaybolmasına neden olabilir ve muhtemelen Azure Stack Hub'ın kendi masraflarınızla yeniden dağıtılmasını gerektirebilir.

Uyarı izleme ve düzeltme hakkında daha fazla bilgi için bkz. Azure Stack Hub'da sistem durumunu ve uyarıları izleme.

Önkoşullar

1. Azure Stack Hub'ın desteklenen bir sürümünü çalıştırmanız ve örneğinizin çalıştıracağı Azure Stack Hub sürümü için kullanılabilir en son düzeltmeyi uygulamanız önerilir. Örneğin, 2501 çalıştırıyorsanız 2501 için kullanılabilen en son düzeltmeyi yüklediğinizden emin olun.
2. Kullanıcılarınıza planlı bakım işlemlerini bildirin. İş dışı saatlerde mümkün olduğunca normal bakım pencereleri zamanlayın. Bakım işlemleri hem kullanıcı iş yüklerini hem de portal işlemlerini etkileyebilir.
3. Azure Stack Hub için sertifika imzalama istekleri oluşturun.
4. Azure Stack Hub PKI sertifikalarını hazırlayın.
5. Gizli dönüş sırasında operatörler, uyarıların açılıp otomatik olarak kapanabileceğini fark edebilir. Beklenen bir davranıştır ve uyarılar göz ardı edilebilir. Operatörler, Test-AzureStack PowerShell cmdlet'ini kullanarak bu uyarıların geçerliliğini doğrulayabilir. Operatörler için, Azure Stack Hub sistemlerini izlemek için System Center Operations Manager'ın kullanılması, bir sistemin bakım moduna alınması bu uyarıların ITSM sistemlerine ulaşmasını engeller. Ancak Azure Stack Hub sistemine ulaşılamaz duruma gelirse uyarılar gelmeye devam eder.

Dış gizli bilgileri döndür

Önemli

Dış gizli dizi döndürme:

• Güvenli anahtarlar ve dizeler gibi sertifika dışı gizli diziler yönetici tarafından el ile yapılmalıdır. Buna kullanıcı ve yönetici hesabı parolaları ile ağ anahtarı parolaları dahildir.
• Katma değerli kaynak sağlayıcı (RP) gizli bilgileri ayrı yönergelerde ele alınmaktadır:
  • Azure Stack Hub'da App Service
  • Azure Stack Hub'da Event Hubs
  • Azure Stack Hub'da MySQL
  • Azure Stack Hub'da SQL
• Temel kart yönetim denetleyicisi (BMC) kimlik bilgileri, bu makalede ilerleyen bölümlerde ele alınacak olan manuel bir süreçtir.
• Azure Container Registry dış sertifikaları, bu makalenin devamında ele alınan el ile gerçekleştirilen bir işlemdir.

Bu bölüm, dış hizmetlere yönelik hizmetlerin güvenliğini sağlamak için kullanılan sertifikaların döndürülünü kapsar. Bu sertifikalar aşağıdaki hizmetler için Azure Stack Hub Operatörü tarafından sağlanır:

• Yönetici portalı
• Genel portal
• Yönetici Azure Kaynak Yöneticisi
• Genel Azure Kaynak Yöneticisi
• Yönetici Anahtar Kasası
• Anahtar Kasası (Key Vault)
• Yönetici Uzantısı Ana Bilgisayarı
• ACS (blob, tablo ve kuyruk depolama dahil)
• ADFS¹
• Grafik¹
• Konteyner Kayıt Defteri²

¹Active Directory Federasyon Hizmetleri (ADFS) kullanılırken geçerlidir.

²Azure Container Registry (ACR) kullanılırken geçerlidir.

Hazırlık

Dış gizli dizileri döndürmeden önce:

1. Test-AzureStack parametresini kullanarak -group SecretRotationReadiness PowerShell cmdlet'ini çalıştırın ve tüm test çıkışlarının sorunsuz olduğunu doğrulayın, ardından gizli dizileri döndürün.

2. Yeni bir yedek dış sertifika kümesi hazırlayın:

   • Yeni küme, Azure Stack Hub PKI sertifika gereksinimlerinde belirtilen sertifika belirtimleriyle eşleşmelidir.

   • Sertifika Yetkilinize (CA) göndermek için bir sertifika imzalama isteği (CSR) oluşturun. Sertifika imzalama istekleri oluşturma bölümünde açıklanan adımları kullanın ve PKI sertifikalarını hazırlama makalesindeki adımları kullanarak bunları Azure Stack Hub ortamınızda kullanıma hazırlayın. Azure Stack Hub, aşağıdaki bağlamlarda yeni bir Sertifika Yetkilisi'nden (CA) dış sertifikalar için gizli dizi döndürmeyi destekler:

     CA'dan döndürme	CA'ya çevir	Azure Stack Hub sürüm desteği
     Kendi Kendine İmzalanmış	Kurumsal	1903 ve üzeri
     Kendi Kendine İmzalanmış	Kendi Kendine İmzalanmış	Desteklenmiyor
     Kendi Kendine İmzalanmış	Kamu*	1803 ve üzeri
     Kurumsal	Kurumsal	1803 ve üzeri; 1803-1903, dağıtımda kullanılan aynı kurumsal Sertifika Yetkilisi ise
     Kurumsal	Kendi Kendine İmzalanmış	Desteklenmiyor
     Kurumsal	Kamu*	1803 ve üzeri
     Kamu*	Kurumsal	1903 ve üzeri
     Kamu*	Kendi Kendine İmzalanmış	Desteklenmiyor
     Kamu*	Kamu*	1803 ve üzeri

     ^* Windows Güvenilen Kök Programı'nın bir parçası.

   • PKI Sertifikalarını Doğrulama bölümünde açıklanan adımlarla hazırladığınız sertifikaları doğruladığınızdan emin olun

   • Parolada ,,,$*#,)' gibi @orözel karakterler olmadığından emin olun.

   • PFX şifrelemesinin TripleDES-SHA1 olduğundan emin olun. Bir sorunla karşılaşırsanız Azure Stack Hub PKI sertifikalarıyla ilgili yaygın sorunları düzeltme bölümüne bakın.

3. Döngü için kullanılan sertifikaların bir yedeğini güvenli bir yedekleme konumuna depolayın. Döndürme işleminiz çalıştırılır ve sonra başarısız olursa, döndürmeyi yeniden çalıştırmadan önce dosya paylaşımındaki sertifikaları yedek kopyalarla değiştirin. Yedek kopyaları güvenli yedekleme konumunda tutun.

4. ERCS VM'lerinden erişebileceğiniz bir dosya paylaşımı oluşturun. CloudAdmin kimliği için dosya paylaşımı okunabilir ve yazılabilir olmalıdır.

5. Dosya paylaşımına erişiminiz olan bir bilgisayardan PowerShell ISE konsolunu açın. Dış sertifikalarınızı yerleştirmek için dizinler oluşturduğunuz dosya paylaşımınıza gidin.

6. Dosya paylaşımında adlı Certificatesbir klasör oluşturun. Sertifikalar klasörünün içinde, Hub'ınızın kullandığı kimlik sağlayıcısına bağlı olarak veya AADadlı ADFS bir alt klasör oluşturun. Örneğin, .\Certificates\AAD veya .\Certificates\ADFS. Burada sertifikalar klasörü ve kimlik sağlayıcısı alt klasörü dışında başka klasör oluşturulmamalıdır.

7. 2. adımda oluşturulan yeni dış sertifika kümesini, 6. adımda oluşturulan .\Certificates\<IdentityProvider> klasörüne kopyalayın. Daha önce belirtildiği gibi, kimlik sağlayıcı alt klasörünüz AAD veya ADFSolmalıdır. Değiştirilen dış sertifikalarınızın konu alternatif adlarının (SAN) cert.<regionName>.<externalFQDN>belirtilen biçimine uygun olduğundan emin olun.

   Aşağıda Microsoft Entra kimlik Sağlayıcısı için bir klasör yapısı örneği verilmişti:

       <ShareName>
           │
           └───Certificates
                 └───AAD
                     ├───ACSBlob
                     │       <CertName>.pfx
                     │
                     ├───ACSQueue
                     │       <CertName>.pfx
                     │
                     ├───ACSTable
                     │       <CertName>.pfx
                     │
                     ├───Admin Extension Host
                     │       <CertName>.pfx
                     │
                     ├───Admin Portal
                     │       <CertName>.pfx
                     │
                     ├───ARM Admin
                     │       <CertName>.pfx
                     │
                     ├───ARM Public
                     │       <CertName>.pfx
                     │
                     ├───Container Registry*
                     │       <CertName>.pfx
                     │
                     ├───KeyVault
                     │       <CertName>.pfx
                     │
                     ├───KeyVaultInternal
                     │       <CertName>.pfx
                     │
                     ├───Public Extension Host
                     │       <CertName>.pfx
                     │
                     └───Public Portal
                             <CertName>.pfx
   

^*Microsoft Entra Id ve AD FS için Azure Container Registry kullanılırken geçerlidir.

Not

Dış kapsayıcı kayıt defteri sertifikalarını döndürürseniz, kimlik sağlayıcının alt klasöründe manüel olarak bir Kapsayıcı Kayıt Defteri alt klasörü oluşturmanız gerekir. Ayrıca, karşılık gelen .pfx sertifikasını el ile oluşturulan bu alt klasörde depolamanız gerekir.

Döndürme

Dış sırları döndürmek için aşağıdaki adımları izleyin:

1. Gizli dizileri döndürmek için aşağıdaki PowerShell betiğini kullanın. Betik, Privileged EndPoint (PEP) oturumuna giriş gerektirir. PEP'ye PEP'yi barındıran sanal makinede (VM) uzak bir PowerShell oturumu aracılığıyla erişilir. Tümleşik bir sistem kullanıyorsanız, her biri farklı konaklarda bir VM içinde (Prefix-ERCS01, Prefix-ERCS02 veya Prefix-ERCS03) çalışan üç PEP örneği vardır. Komut dosyası aşağıdaki adımları gerçekleştirir:

   • CloudAdmin hesabını kullanarak Privileged uç noktasıyla bir PowerShell Oturumu oluşturur ve oturumu değişken olarak depolar. Bu değişken bir sonraki adımda parametre olarak kullanılır.

   • Invoke-Command komutunu çalıştırarak PEP oturum değişkenini -Session parametre olarak geçirir.

   • PEP oturumunda, aşağıdaki parametreleri kullanarak çalışır Start-SecretRotation. Daha fazla bilgi için Start-SecretRotation belgesine bakın.

     Parametre	Değişken	Açıklama
     -PfxFilesPath	$CertSharePath	Sertifika kök klasörünüzün ağ yolu, Hazırlık bölümünün 6. adımında tartışıldığı gibi, örneğin \\<IPAddress>\<ShareName>\Certificates.
     -PathAccessCredential	$CertShareCreds	Paylaşım kimlik bilgileri için PSCredential nesnesi.
     -CertificatePassword	$CertPassword	Oluşturulan tüm pfx sertifika dosyaları için kullanılan parolanın güvenli dizesi.

   # Create a PEP session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run secret rotation
   $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
   $CertShareCreds = Get-Credential
   $CertSharePath = "<Network_Path_Of_CertShare>"
   Invoke-Command -Session $PEPsession -ScriptBlock {
       param($CertSharePath, $CertPassword, $CertShareCreds )
       Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
   } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
   Remove-PSSession -Session $PEPSession
   

2. Dış gizli dizi döndürme yaklaşık bir saat sürer. Başarıyla tamamlandıktan sonra konsolunuzda bir ActionPlanInstanceID ... CurrentStatus: Completed ileti ve ardından Action plan finished with status: 'Completed'görüntülenir. Sertifikalarınızı Hazırlık bölümünde oluşturulan paylaşımdan kaldırın ve güvenli yedekleme konumlarında depolayın.

   Not

   Gizli dizi döndürme başarısız olursa, hata iletisindeki yönergeleri izleyin ve Start-SecretRotation parametresiyle -ReRun yeniden çalıştırın:

   Start-SecretRotation -ReRun
   

   Yinelenen gizli anahtar döndürme hatalarıyla karşılaşırsanız destekle iletişime geçin.

3. İsteğe bağlı olarak, tüm dış sertifikaların döndürüldüğünü onaylamak için aşağıdaki betiği kullanarak Test-AzureStack doğrulama aracını çalıştırın:

   Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
   

İç gizli bilgileri döndür

İç gizli diziler, Azure Stack Hub Operatörünün müdahalesi olmadan Azure Stack Hub altyapısı tarafından kullanılan sertifikaları, parolaları, güvenli dizeleri ve anahtarları içerir. İç gizli bilgi döndürme işlemi yalnızca bir gizli bilginin güvenliği tehlikeye atıldıysa veya bir süre sonu uyarısı aldıysanız gereklidir.

İç gizli bilgileri yenilemek için aşağıdaki adımları tamamlayın.

1. Aşağıdaki PowerShell betiğini çalıştırın. İç gizli dizi döndürmesi için "Gizli Dizi Döndürmeyi Çalıştır" bölümü yalnızca Start-SecretRotation cmdlet'ine -Internal parametresinikullanır:

   # Create a PEP Session
   winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
   $PEPCreds = Get-Credential
   $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   # Run Secret Rotation
   Invoke-Command -Session $PEPSession -ScriptBlock {
       Start-SecretRotation -Internal
   }
   Remove-PSSession -Session $PEPSession
   

2. Başarıyla tamamlandıktan sonra konsolunuzda bir ActionPlanInstanceID ... CurrentStatus: Completed iletisi ve ardından Action plan finished with status: 'Completed'görüntülenir.

   Not

   Gizli dizi döndürme başarısız olursa, hata iletisindeki yönergeleri izleyin ve Start-SecretRotation ve -Internal parametreleriyle -ReRun yeniden çalıştırın:

   Start-SecretRotation -Internal -ReRun
   

   Yinelenen gizli anahtar döndürme hatalarıyla karşılaşırsanız destekle iletişime geçin.

Azure Stack Hub kök sertifikayı döndürme

Azure Stack Hub kök sertifikası dağıtım sırasında beş yıl süreyle sağlanır. 2108'den itibaren, iç gizli döndürme işlemi aynı zamanda kök sertifikayı da yeniler. Standart gizli anahtar süresi dolma uyarısı, kök sertifikanın sona ereceğini belirler ve hem 90 (erken uyarı) hem de 30 (kritik) gün kala bildirimler oluşturur.

Kök sertifikayı döndürmek için sisteminizi 2108'e güncelleştirmeniz ve iç gizli dizi döndürme işlemi gerçekleştirmeniz gerekir.

Aşağıdaki örnek, kök sertifikanın son kullanma tarihini listelemek için Privileged Endpoint'i kullanır:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub root certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

BMC kimlik bilgilerini güncelleştirme

Temel kart yönetim denetleyicisi sunucularınızın fiziksel durumunu izler. BMC'nin kullanıcı hesabı adını ve parolasını güncelleştirme yönergeleri için özgün donanım üreticinize (OEM) başvurun.

Not

OEM'niz ek yönetim uygulamaları sağlayabilir. Diğer yönetim uygulamalarının kullanıcı adını veya parolasını güncelleştirmenin BMC kullanıcı adı veya parolası üzerinde hiçbir etkisi yoktur.

1. Artık OEM yönergelerinizi izleyerek önce Azure Stack Hub fiziksel sunucularında BMC kimlik bilgilerini güncelleştirmeniz gerekmez. Ortamınızdaki her BMC için kullanıcı adı ve parola aynı olmalıdır ve 16 karakteri aşamaz.

1. Azure Stack Hub oturumlarında ayrıcalıklı bir uç nokta açın. Yönergeler için bkz . Azure Stack Hub'da ayrıcalıklı uç noktayı kullanma.

2. Ayrıcalıklı uç nokta oturumunu açtıktan sonra, Invoke-Commandçalıştırmak için Set-BmcCredential kullanan aşağıdaki PowerShell betiklerinden birini çalıştırın. -BypassBMCUpdateile isteğe bağlı Set-BMCCredential parametresini kullanırsanız BMC'deki kimlik bilgileri güncelleştirilmez; yalnızca Azure Stack Hub iç veri deposu güncelleştirilir. Ayrıcalıklı uç nokta oturum değişkeninizi parametre olarak geçirin.

   Aşağıda kullanıcı adı ve parola isteyecek örnek bir PowerShell betiği verilmiştir:

   # Interactive Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
   $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
   $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

   Kullanıcı adını ve parolayı daha az güvenli olabilecek değişkenlere de kodlayabilirsiniz:

   # Static Version
   $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
   $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
   $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
   $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
   $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
   $NewBmcUser = "<New BMC User name>"
   
   $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
   
   Invoke-Command -Session $PEPSession -ScriptBlock {
       # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
       Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
   }
   Remove-PSSession -Session $PEPSession
   

Referans: Start-SecretRotation cmdlet'i

Start-SecretRotation cmdlet'i, bir Azure Stack Hub sisteminin altyapı sırlarını döndürür. Bu cmdlet, yalnızca Invoke-Command parametresinde PEP oturumunu geçiren bir -Session betik bloğu kullanılarak Azure Stack Hub ayrıcalıklı uç noktasında yürütülebilir. Varsayılan olarak, yalnızca tüm dış ağ altyapısı uç noktalarının sertifikalarını döndürür.

Parametre	Türü	Zorunlu	Pozisyon	Varsayılan	Açıklama
PfxFilesPath	Dize	Yanlış	Adlı	Hiçbiri	Tüm dış ağ uç noktası sertifikalarını içeren \Certificates kök klasörünün dosya paylaşımı yolu. Yalnızca dış gizli anahtarları yenilerken gereklidir. Yol \Certificates klasörü ile bitmelidir, örneğin \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword	Güvenli Dize	Yanlış	Adlı	Hiçbiri	-PfXFilesPath içinde sağlanan tüm sertifikaların parolası. PfxFilesPath sağlandığında, dış sırlar döndürüldüğünde gerekli olan değerdir.
Internal	Dize	Yanlış	Adlı	Hiçbiri	Bir Azure Stack Hub operatörü iç altyapı gizli anahtarlarını değiştirmek istediğinde iç bayrağı kullanması gerekmektedir.
PathAccessCredential	PSCredential	Yanlış	Adlı	Hiçbiri	Tüm dış ağ uç noktası sertifikalarını içeren \Certificates dizininin dosya paylaşımı için PowerShell kimlik bilgileri. Yalnızca dış gizli anahtarları yenilerken gereklidir.
ReRun	SwitchParameter	Yanlış	Adlı	Hiçbiri	Başarısız bir girişimden sonra gizli anahtar döndürme yeniden denendiğinde kullanılmalıdır.

Sözdizimi

Dış gizli dizi döndürme için

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

İç sır döngüsü için

Start-SecretRotation [-Internal]  

Dış sır döndürme işlemini yeniden çalıştırmak için

Start-SecretRotation [-ReRun]

İç gizli dizi döndürme yeniden çalıştırması için

Start-SecretRotation [-ReRun] [-Internal]

Örnekler

Yalnızca iç altyapı gizli bilgilerini döndür

Bu komut, Azure Stack Hub ortamınızın ayrıcalıklı uç noktası üzerinden çalıştırılmalıdır.

Start-SecretRotation -Internal

Bu komut, Azure Stack Hub iç ağına sunulan tüm altyapı gizli dizilerini döndürür.

Yalnızca dış altyapı sırlarını değiştirin

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Bu komut, Azure Stack Hub'ın dış ağ altyapısı uç noktaları için kullanılan TLS sertifikalarını döndürür.

Sonraki adımlar

Azure Stack Hub güvenliği hakkında daha fazla bilgi edinin