Obměna tajných klíčů ve službě Azure Stack Hub

Tento článek obsahuje pokyny k obměně tajných kódů, které pomáhají udržovat zabezpečenou komunikaci s prostředky a službami infrastruktury služby Azure Stack Hub.

Přehled

Azure Stack Hub používá tajné kódy k udržování zabezpečené komunikace s prostředky a službami infrastruktury. Aby se zachovala integrita infrastruktury služby Azure Stack Hub, potřebují operátoři možnost obměňovat tajné kódy s frekvencí, která je v souladu s požadavky jejich organizace na zabezpečení.

Když se blíží vypršení platnosti tajných kódů, na portálu pro správu se vygenerují následující výstrahy. Dokončení obměně tajných kódů vyřeší tyto výstrahy:

  • Nevyřízené vypršení platnosti hesla účtu služby
  • Blížící se vypršení platnosti interního certifikátu
  • Blížící se vypršení platnosti externího certifikátu

Upozornění

Před vypršením platnosti se na portálu pro správu aktivují 2 fáze upozornění:

  • 90 dní před vypršením platnosti se vygeneruje upozornění.
  • 30 dní před vypršením platnosti se vygeneruje kritická výstraha.

Pokud obdržíte tato oznámení, je důležité , abyste dokončili obměnu tajných kódů. Pokud to neuděláte, může dojít ke ztrátě úloh a možnému opětovnému nasazení služby Azure Stack Hub na vlastní náklady!

Další informace o monitorování a nápravě výstrah najdete v tématu Monitorování stavu a upozornění ve službě Azure Stack Hub.

Poznámka

V prostředích služby Azure Stack Hub ve verzích starších než 1811 se můžou zobrazovat upozornění na nevyřízené vypršení platnosti interního certifikátu nebo tajných klíčů. Tato upozornění jsou nepřesná a bez rotace interních tajných kódů by se měla ignorovat. Nepřesná upozornění na vypršení platnosti interního tajného klíče jsou známým problémem, který se řeší ve 1811. Platnost interních tajných kódů nevyprší, pokud prostředí nebude aktivní dva roky.

Požadavky

  1. Důrazně doporučujeme, abyste měli podporovanou verzi služby Azure Stack Hub a použili nejnovější dostupnou opravu hotfix pro verzi služby Azure Stack Hub, kterou vaše instance používá. Pokud například používáte verzi 2008, ujistěte se, že máte nainstalovanou nejnovější opravu hotfix dostupnou pro verzi 2008.

    Důležité

    Verze starší než 1811:

    • Pokud už byla provedena obměna tajných kódů, musíte před opětovnou obměnou tajných kódů provést aktualizaci na verzi 1811 nebo novější. Obměně tajných kódů se musí provádět prostřednictvím privilegovaného koncového bodu a vyžaduje přihlašovací údaje operátora služby Azure Stack Hub. Pokud nevíte, jestli ve vašem prostředí nebylo spuštěné obměně tajných kódů, před obměnou tajných kódů aktualizujte na 1811.
    • Pokud chcete přidat certifikáty hostitele rozšíření, nemusíte obměňovat tajné kódy. Pokud chcete přidat certifikáty hostitele rozšíření, postupujte podle pokynů v článku Příprava hostitele rozšíření pro službu Azure Stack Hub .
  2. Upozorněte uživatele na operace plánované údržby. Naplánujte co nejvíce běžná časová období údržby mimo pracovní dobu. Operace údržby můžou ovlivnit uživatelské úlohy i operace portálu.

  3. Generování žádostí o podepsání certifikátu pro službu Azure Stack Hub

  4. Připravte certifikáty PKI služby Azure Stack Hub.

  5. Během obměně tajných kódů si můžou operátoři všimnout otevření a automatického zavření výstrah. Jedná se o očekávané chování a tato upozornění můžete ignorovat. Operátoři můžou platnost těchto upozornění ověřit pomocí rutiny PowerShellu Test-AzureStack. Pokud operátoři pomocí System Center Operations Manageru monitorují systémy Azure Stack Hub, uvedení systému do režimu údržby zabrání těmto výstrahám, aby se dostaly k jejich systémům ITSM. Upozornění ale budou dál přicházet, pokud se systém Azure Stack Hub stane nedostupným.

Obměna externích tajných kódů

Důležité

Obměně externích tajných kódů pro:

Tato část popisuje obměnu certifikátů používaných k zabezpečení externích služeb. Tyto certifikáty poskytuje operátor služby Azure Stack Hub pro následující služby:

  • Portál správce
  • Veřejný portál
  • Azure Resource Manager pro správce
  • Globální Resource Manager Azure
  • Key Vault správce
  • Key Vault
  • Hostitel rozšíření Správa
  • ACS (včetně úložiště objektů blob, tabulek a front)
  • ADFS1
  • Graf1
  • Container Registry2

1.Platí při použití služby Ad FS (Active Directory Federated Services).

2.Platí při použití Azure Container Registry (ACR).

Příprava

Před obměnou externích tajných kódů:

  1. Spusťte rutinu PowerShellu Test-AzureStack pomocí parametru , -group SecretRotationReadiness abyste před obměnou tajnými kódy ověřili, že jsou všechny výstupy testů v pořádku.

  2. Připravte novou sadu náhradních externích certifikátů:

    • Nová sada musí odpovídat specifikacím certifikátů uvedeným v požadavcích na certifikát PKI služby Azure Stack Hub.

    • Vygenerujte žádost o podepsání certifikátu (CSR), kterou odešlete certifikační autoritě (CA). Postupujte podle kroků uvedených v tématu Generování žádostí o podepsání certifikátů a připravte je pro použití v prostředí služby Azure Stack Hub pomocí kroků v tématu Příprava certifikátů PKI. Azure Stack Hub podporuje obměnu tajných kódů pro externí certifikáty z nové certifikační autority (CA) v následujících kontextech:

      Otočit z certifikační autority Otočit na certifikační autoritu Podpora verzí služby Azure Stack Hub
      Self-Signed Enterprise 1903 & později
      Self-Signed Self-Signed Nepodporuje se
      Self-Signed Veřejná* 1803 & novější
      Enterprise Enterprise 1803 & později; 1803–1903, pokud se při nasazení používá stejná certifikační autorita organizace
      Enterprise Self-Signed Nepodporuje se
      Enterprise Veřejná* 1803 & novější
      Veřejná* Enterprise 1903 & později
      Veřejná* Self-Signed Nepodporuje se
      Veřejná* Veřejná* 1803 & novější

      *Součást důvěryhodného kořenového programu systému Windows.

    • Nezapomeňte ověřit certifikáty, které připravíte, pomocí kroků uvedených v části Ověření certifikátů PKI.

    • Ujistěte se, že heslo neobsahuje žádné speciální znaky, například $,*,#,@)or'.

    • Ujistěte se, že šifrování PFX je TripleDES-SHA1. Pokud narazíte na problém, projděte si téma Řešení běžných problémů s certifikáty PKI služby Azure Stack Hub.

  3. Uložte zálohu k certifikátům použitým k obměně v zabezpečeném umístění zálohování. Pokud se vaše obměna spustí a pak se nezdaří, nahraďte certifikáty ve sdílené složce záložními kopiemi před opětovným spuštěním obměna. Uchovávejte záložní kopie v zabezpečeném umístění zálohování.

  4. Vytvořte sdílenou složku, ke které máte přístup z virtuálních počítačů ERCS. Sdílená složka musí být čitelná a zapisovatelná pro identitu CloudAdmin .

  5. Otevřete konzolu PowerShell ISE z počítače, kde máte přístup ke sdílené složce. Přejděte do sdílené složky, kde vytvoříte adresáře pro umístění externích certifikátů.

  6. Ve sdílené složce vytvořte složku s názvem Certificates. Ve složce certificates vytvořte podsložku s názvem AAD nebo ADFSv závislosti na poskytovateli identity, který vaše centrum používá. Například .\Certificates\AAD nebo .\Certificates\ADFS. Neměly by se zde vytvářet žádné další složky kromě složky certifikáty a podsložky zprostředkovatele identity.

  7. Zkopírujte novou sadu náhradních externích certifikátů vytvořenou v kroku 2 do složky .\Certificates\<IdentityProvider> vytvořené v kroku 6. Jak je uvedeno výše, podsložka zprostředkovatele identity musí být AADADFSnebo . Ujistěte se, že alternativní názvy subjektů (SAN) náhradních externích certifikátů mají cert.<regionName>.<externalFQDN> formát zadaný v požadavcích na certifikáty infrastruktury veřejných klíčů (PKI) služby Azure Stack Hub.

    Tady je příklad struktury složek pro zprostředkovatele identity Microsoft Entra:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───Container Registry*
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    

*Platí při použití Azure Container Registry (ACR) pro Microsoft Entra ID a AD FS.

Poznámka

Pokud obměníte externí certifikáty služby Container Registry, musíte ručně vytvořit Container Registry podsložku v podsložce zprostředkovatele identity. Kromě toho musíte v této ručně vytvořené podsložce uložit odpovídající certifikát .pfx.

Obměna

Provedením následujících kroků obměňte externí tajné kódy:

  1. K obměně tajných kódů použijte následující skript PowerShellu. Skript vyžaduje přístup k relaci Privileged EndPoint (PEP). K PEP se přistupuje prostřednictvím vzdálené relace PowerShellu na virtuálním počítači, který je hostitelem pepy. Pokud používáte integrovaný systém, existují tři instance PEP, z nichž každá běží na virtuálním počítači (Prefix-ERCS01, Prefix-ERCS02 nebo Prefix-ERCS03) na různých hostitelích. Skript provede následující kroky:

    • Vytvoří relaci PowerShellu s privilegovaným koncovým bodem pomocí účtu CloudAdmin a uloží relaci jako proměnnou. Tato proměnná se použije jako parametr v dalším kroku.

    • Spustí Invoke-Command a jako parametr předá proměnnou -Session relace PEP.

    • Spustí Start-SecretRotation se v relaci PEP pomocí následujících parametrů. Další informace najdete v referenčních informacích k Start-SecretRotation :

      Parametr Proměnná Popis
      -PfxFilesPath $CertSharePath Síťová cesta ke kořenové složce certifikátů, jak je popsáno v kroku 6 v části Příprava, například \\<IPAddress>\<ShareName>\Certificates.
      -PathAccessCredential $CertShareCreds Objekt PSCredential pro přihlašovací údaje ke sdílené složce.
      -CertificatePassword $CertPassword Zabezpečený řetězec hesla, který se používá pro všechny vytvořené soubory certifikátů pfx.
    # Create a PEP session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run secret rotation
    $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPsession -ScriptBlock {
        param($CertSharePath, $CertPassword, $CertShareCreds )
        Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
    } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
    Remove-PSSession -Session $PEPSession
    
  2. Obměně externích tajných kódů trvá přibližně jednu hodinu. Po úspěšném dokončení se v konzole zobrazí zpráva s textem ActionPlanInstanceID ... CurrentStatus: CompletedAction plan finished with status: 'Completed'. Odeberte certifikáty ze sdílené složky vytvořené v části Příprava a uložte je do jejich zabezpečeného umístění zálohování.

    Poznámka

    Pokud se obměně tajných kódů nezdaří, postupujte podle pokynů v chybové zprávě a spusťte Start-SecretRotation znovu s parametrem -ReRun .

    Start-SecretRotation -ReRun
    

    Pokud dochází k opakovaným selháním obměny tajných kódů, obraťte se na podporu.

  3. Pokud chcete ověřit, že se všechny externí certifikáty obměněly, spusťte ověřovací nástroj Test-AzureStack pomocí následujícího skriptu:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
    

Obměna interních tajných kódů

Mezi interní tajné kódy patří certifikáty, hesla, zabezpečené řetězce a klíče používané infrastrukturou služby Azure Stack Hub bez nutnosti zásahu operátora služby Azure Stack Hub. Obměna interních tajných kódů je nutná jenom v případě, že máte podezření, že došlo k ohrožení zabezpečení některého z nich, nebo když dostanete upozornění na skončení platnosti.

U nasazení před 1811 se můžou zobrazovat upozornění na nevyřízené vypršení platnosti interního certifikátu nebo tajných kódů. Tato upozornění jsou nepřesná a je třeba je ignorovat a jedná se o známý problém vyřešený v roce 1811.

Provedením následujících kroků obměňte interní tajné kódy:

  1. Spusťte následující skript PowerShellu. Všimněte si, že při obměně interních tajných kódů se v části "Run Secret Secret Rotation" používá pouze -Internal parametr rutiny Start-SecretRotation:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Poznámka

    Verze starší než 1811 tento příznak nevyžadují -Internal .

  2. Po úspěšném dokončení se v konzole zobrazí zpráva s textem ActionPlanInstanceID ... CurrentStatus: CompletedAction plan finished with status: 'Completed'.

    Poznámka

    Pokud se obměna tajných kódů nezdaří, postupujte podle pokynů v chybové zprávě a znovu spusťte příkaz Start-SecretRotation s parametry -Internal a -ReRun.

    Start-SecretRotation -Internal -ReRun
    

    Pokud dochází k opakovaným selháním obměny tajných kódů, obraťte se na podporu.

Obměna kořenového certifikátu služby Azure Stack Hub

Kořenový certifikát služby Azure Stack Hub se zřizuje během nasazení s vypršením platnosti 5 let. Od verze 2108 obměna interních tajných kódů také obměňuje kořenový certifikát. Standardní výstraha vypršení platnosti tajného kódu identifikuje vypršení platnosti kořenového certifikátu a vygeneruje výstrahy po 90 (upozornění) i 30 (kritických) dnech.

Pokud chcete kořenový certifikát otočit, musíte aktualizovat systém na 2108 a provést obměně interních tajných kódů.

Následující fragment kódu používá k výpisu data vypršení platnosti kořenového certifikátu privilegovaný koncový bod:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

Aktualizace přihlašovacích údajů BMC

Kontroler pro správu základní desky monitoruje fyzický stav serverů. Pokyny k aktualizaci názvu a hesla uživatelského účtu řadiče pro správu základní desky najdete od dodavatele hardwaru OEM (Original Equipment Manufacturer Manufacturer).

Poznámka

Výrobce OEM může poskytovat další aplikace pro správu. Aktualizace uživatelského jména nebo hesla pro jiné aplikace pro správu nemá žádný vliv na uživatelské jméno nebo heslo řadiče pro správu základní desky.

  1. Aktualizujte řadič pro správu základní desky na fyzických serverech Služby Azure Stack Hub podle pokynů výrobce OEM. Uživatelské jméno a heslo pro každý řadič pro správu základní desky ve vašem prostředí musí být stejné. Uživatelská jména řadiče pro správu základní desky nesmí být delší než 16 znaků.
  1. Už se nevyžaduje, abyste nejprve aktualizovali přihlašovací údaje řadiče pro správu základní desky na fyzických serverech služby Azure Stack Hub podle pokynů výrobce OEM. Uživatelské jméno a heslo pro každou řadič pro správu základní desky ve vašem prostředí musí být stejné a nesmí překročit 16 znaků.
  1. Otevřete privilegovaný koncový bod v relacích služby Azure Stack Hub. Pokyny najdete v tématu Použití privilegovaného koncového bodu ve službě Azure Stack Hub.

  2. Po otevření relace privilegovaného koncového bodu spusťte jeden z následujících skriptů PowerShellu, které používají Invoke-Command ke spuštění set-BmcCredential. Pokud použijete volitelný parametr -BypassBMCUpdate s Set-BMCCredential, přihlašovací údaje v řadiči pro správu základní desky se neaktualizují. Aktualizuje se pouze interní úložiště dat služby Azure Stack Hub. Předejte proměnnou relace privilegovaného koncového bodu jako parametr.

    Tady je příklad powershellového skriptu, který zobrazí výzvu k zadání uživatelského jména a hesla:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    Uživatelské jméno a heslo můžete také zakódovat do proměnných, což může být méně bezpečné:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Referenční informace: rutina Start-SecretRotation

Rutina Start-SecretRotation obměňuje tajné kódy infrastruktury systému Azure Stack Hub. Tuto rutinu je možné spustit pouze proti privilegovanému koncovému bodu služby Azure Stack Hub pomocí bloku skriptu, který Invoke-Command předává relaci PEP v parametru -Session . Ve výchozím nastavení obměňuje pouze certifikáty všech koncových bodů externí síťové infrastruktury.

Parametr Typ Vyžadováno Position Výchozí Description
PfxFilesPath Řetězec Ne S názvem Žádné Cesta sdílené složky ke kořenové složce \Certificates obsahující všechny certifikáty externích koncových bodů sítě. Vyžaduje se pouze při obměně externích tajných kódů. Cesta musí končit složkou \Certificates , například \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword Securestring Ne S názvem Žádné Heslo pro všechny certifikáty zadané v cestě -PfXFilesPath. Požadovaná hodnota, pokud pfxFilesPath je zadaná při obměně externích tajných kódů.
Internal Řetězec Ne S názvem Žádné Interní příznak se musí použít vždy, když chce operátor služby Azure Stack Hub obměňovat tajné kódy interní infrastruktury.
PathAccessCredential PSCredential Ne S názvem Žádné Přihlašovací údaje PowerShellu pro sdílenou složku adresáře \Certificates obsahující všechny certifikáty externích koncových bodů sítě. Vyžaduje se pouze při obměně externích tajných kódů.
ReRun Přepínací parametr Ne S názvem Žádné Musí se použít vždy, když se po neúspěšném pokusu znovu provede obměna tajných kódů.

Syntax

Pro obměně externích tajných kódů

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Pro obměně interních tajných kódů

Start-SecretRotation [-Internal]  

Pro opětovné spuštění obměně externích tajných kódů

Start-SecretRotation [-ReRun]

Opětovné spuštění obměně interních tajných kódů

Start-SecretRotation [-ReRun] [-Internal]

Příklady

Obměna pouze interních tajných kódů infrastruktury

Tento příkaz se musí spustit prostřednictvím privilegovaného koncového bodu prostředí služby Azure Stack Hub.

PS C:\> Start-SecretRotation -Internal

Tento příkaz obmění všechny tajné kódy infrastruktury vystavené interní síti služby Azure Stack Hub.

Obměna pouze tajných kódů externí infrastruktury

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Tento příkaz obmění certifikáty TLS používané pro koncové body externí síťové infrastruktury služby Azure Stack Hub.

Obměna interních a externích tajných kódů infrastruktury (jenom před 1811 )

Důležité

Tento příkaz platí jenom pro Azure Stack Hub před 1811 , protože obměna interních a externích certifikátů byla rozdělena.

Od verze 1811 a novější už nemůžete obměňovat interní ani externí certifikáty.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Tento příkaz obměňuje tajné kódy infrastruktury vystavené interní síti služby Azure Stack Hub a certifikáty TLS používané pro koncové body externí síťové infrastruktury služby Azure Stack Hub. Start-SecretRotation obměňuje všechny tajné kódy generované zásobníkem, a protože jsou k dispozici certifikáty, budou se obměňovat i certifikáty externích koncových bodů.

Další kroky

Další informace o zabezpečení služby Azure Stack Hub