Azure Stack Hub’da gizli dizilerin rotasyonunu yapma

Bu makalede, Azure Stack Hub altyapı kaynakları ve hizmetleriyle güvenli iletişimi sürdürmeye yardımcı olmak için gizli dizi döndürme gerçekleştirmeye yönelik yönergeler sağlanır.

Genel Bakış

Azure Stack Hub, altyapı kaynakları ve hizmetleriyle güvenli iletişimi sürdürmek için gizli dizileri kullanır. Azure Stack Hub altyapısının bütünlüğünü korumak için operatörlerin, kuruluşlarının güvenlik gereksinimleriyle tutarlı olan gizli dizileri sıklıklarda döndürebilmeleri gerekir.

Gizli dizilerin süresi dolduğunda, yönetici portalında aşağıdaki uyarılar oluşturulur. Gizli dizi döndürmenin tamamlanması şu uyarıları çözer:

  • Hizmet hesabı parolasının süre sonu bekleniyor
  • Beklemedeki iç sertifika süre sonu
  • Beklemedeki dış sertifika süre sonu

Uyarı

Süre dolmadan önce yönetici portalında tetiklenen uyarıların 2 aşaması vardır:

  • Süre dolmadan 90 gün önce bir uyarı oluşturulur.
  • Süre dolmadan 30 gün önce kritik bir uyarı oluşturulur.

Bu bildirimleri alırsanız gizli dizi döndürmeyi tamamlamanız önemlidir . Bunun yapılmaması, iş yüklerinin kaybına ve olası Azure Stack Hub yeniden dağıtımını sizin masrafınıza neden olabilir!

Uyarı izleme ve düzeltme hakkında daha fazla bilgi için bkz. Azure Stack Hub'da sistem durumunu ve uyarıları izleme.

Not

1811 öncesi sürümlerdeki Azure Stack Hub ortamları, bekleyen iç sertifika veya gizli süre sonu uyarıları görebilir. Bu uyarılar yanlıştır ve iç gizli dizi döndürme çalıştırılmadan yoksayılmalıdır. Yanlış iç gizli dizi süre sonu uyarıları, 1811'de çözülen bilinen bir sorundur. ortam iki yıldır etkin olmadığı sürece iç gizli dizilerin süresi dolmaz.

Önkoşullar

  1. Azure Stack Hub'ın desteklenen bir sürümünü çalıştırmanız ve örneğinizin çalıştırılan Azure Stack Hub sürümü için en son kullanılabilir düzeltmeyi uygulamanız kesinlikle önerilir. Örneğin, 2008 çalıştırıyorsanız 2008 için kullanılabilen en son düzeltmeyi yüklediğinizden emin olun.

    Önemli

    1811 öncesi sürümler için:

    • Gizli dizi döndürme işlemi zaten gerçekleştirildiyse, gizli dizi döndürmeyi yeniden gerçekleştirmeden önce sürüm 1811 veya sonraki bir sürüme güncelleştirmeniz gerekir. Gizli Dizi Döndürme , Privileged Endpoint aracılığıyla yürütülmelidir ve Azure Stack Hub Operatör kimlik bilgileri gerektirir. Ortamınızda gizli dizi döndürmenin çalıştırılıp çalıştırılmadığını bilmiyorsanız, gizli dizi döndürmeyi gerçekleştirmeden önce 1811'e güncelleştirin.
    • Uzantı konak sertifikaları eklemek için gizli dizileri döndürmeniz gerekmez. Uzantı ana bilgisayar sertifikaları eklemek için Azure Stack Hub için uzantı konağı hazırlama makalesindeki yönergeleri izlemeniz gerekir.
  2. Kullanıcılarınıza planlı bakım işlemlerini bildirin. İş dışı saatlerde mümkün olduğunca normal bakım pencereleri zamanlayın. Bakım işlemleri hem kullanıcı iş yüklerini hem de portal işlemlerini etkileyebilir.

  3. Azure Stack Hub için sertifika imzalama istekleri oluşturun.

  4. Azure Stack Hub PKI sertifikalarını hazırlama.

  5. Gizli dizilerin rotasyonu sırasında işleçler uyarıların açılıp otomatik olarak kapanabileceğini fark edebilir. Bu beklenen bir davranıştır ve uyarılar yoksayılabilir. operatörler , Test-AzureStack PowerShell cmdlet'ini kullanarak bu uyarıların geçerliliğini doğrulayabilir. Operatörler için, Azure Stack Hub sistemlerini izlemek için System Center Operations Manager kullanmak, bir sistemin bakım moduna alınması bu uyarıların ITSM sistemlerine ulaşmasını engeller. Ancak Azure Stack Hub sistemine ulaşılamaz duruma gelirse uyarılar gelmeye devam eder.

Dış gizli dizileri döndürme

Önemli

Dış gizli dizi döndürme:

Bu bölümde, dış kullanıma yönelik hizmetlerin güvenliğini sağlamak için kullanılan sertifikaların rotasyonu açıklanmıştır. Bu sertifikalar aşağıdaki hizmetler için Azure Stack Hub Operatörü tarafından sağlanır:

  • Yönetici portalı
  • Genel portal
  • Yönetici Azure Resource Manager
  • Genel Azure Resource Manager
  • Yönetici Key Vault
  • Key Vault
  • uzantı kona Yönetici
  • ACS (blob, tablo ve kuyruk depolama dahil)
  • ADFS1
  • Grafik1
  • Kapsayıcı Kayıt Defteri2

1Active Directory Federasyon Hizmetleri (ADFS) kullanılırken geçerlidir.

2Azure Container Registry (ACR) kullanılırken geçerlidir.

Hazırlık

Dış gizli dizileri döndürmeden önce:

  1. Test-AzureStack Gizli dizileri döndürmeden önce tüm test çıkışlarının iyi durumda olduğunu onaylamak için parametresini kullanarak -group SecretRotationReadiness PowerShell cmdlet'ini çalıştırın.

  2. Yeni bir yedek dış sertifika kümesi hazırlayın:

    • Yeni küme, Azure Stack Hub PKI sertifika gereksinimlerinde belirtilen sertifika belirtimleriyle eşleşmelidir.

    • Sertifika Yetkilinize (CA) göndermek için bir sertifika imzalama isteği (CSR) oluşturun. PKI sertifikalarını hazırlama bölümündeki adımları kullanarak Sertifika imzalama istekleri oluşturma ve bunları Azure Stack Hub ortamınızda kullanıma hazırlama bölümünde açıklanan adımları kullanın. Azure Stack Hub, aşağıdaki bağlamlarda yeni bir Sertifika Yetkilisi'nden (CA) dış sertifikalar için gizli dizi döndürmeyi destekler:

      CA'dan döndür CA'ya döndürme Azure Stack Hub sürüm desteği
      Self-Signed Kurumsal 1903 & sonrası
      Self-Signed Self-Signed Desteklenmiyor
      Self-Signed Genel* 1803 & sonrası
      Kurumsal Kurumsal 1803 & sonrası; 1803-1903, dağıtımda kullanılan AYNı kurumsal CA ise
      Kurumsal Self-Signed Desteklenmiyor
      Kurumsal Genel* 1803 & sonrası
      Genel* Kurumsal 1903 & sonrası
      Genel* Self-Signed Desteklenmiyor
      Genel* Genel* 1803 & sonrası

      * Windows Güvenilen Kök Programı'nın bir parçası.

    • PKI Sertifikalarını Doğrulama bölümünde açıklanan adımlarla hazırladığınız sertifikaları doğruladığınızdan emin olun

    • Parolada ,*,#@or)' gibi $özel karakterler olmadığından emin olun.

    • PFX şifrelemesinin TripleDES-SHA1 olduğundan emin olun. Bir sorunla karşılaşırsanız bkz. Azure Stack Hub PKI sertifikalarıyla ilgili yaygın sorunları düzeltme.

  3. Döndürmek için kullanılan sertifikalara bir yedeklemeyi güvenli bir yedekleme konumunda depolayın. Döndürme işleminiz çalıştırılır ve başarısız olursa, döndürmeyi yeniden çalıştırmadan önce dosya paylaşımındaki sertifikaları yedek kopyalarla değiştirin. Yedek kopyaları güvenli yedekleme konumunda tutun.

  4. ERCS VM'lerinden erişebileceğiniz bir dosya paylaşımı oluşturun. CloudAdmin kimliği için dosya paylaşımı okunabilir ve yazılabilir olmalıdır.

  5. Dosya paylaşımına erişiminiz olan bir bilgisayardan PowerShell ISE konsolunu açın. Dış sertifikalarınızı yerleştirmek için dizinler oluşturduğunuz dosya paylaşımınıza gidin.

  6. Dosya paylaşımında adlı Certificatesbir klasör oluşturun. Sertifikalar klasörünün içinde, Hub'ınızın kullandığı kimlik sağlayıcısına bağlı olarak veya ADFSadlı AAD bir alt klasör oluşturun. Örneğin, .\Certificates\AAD veya .\Certificates\ADFS. Burada sertifikalar klasörü ve kimlik sağlayıcısı alt klasörü dışında başka klasör oluşturulmamalıdır.

  7. 2. adımda oluşturulan yeni dış sertifika kümesini 6. adımda oluşturulan .\Certificates\<IdentityProvider> klasörüne kopyalayın. Yukarıda belirtildiği gibi, kimlik sağlayıcısı alt klasörünüz veya ADFSolmalıdırAAD. Lütfen yeni dış sertifikalarınızın konu alternatif adlarının (SAN) Azure Stack Hub ortak anahtar altyapısı (PKI) sertifika gereksinimlerinde belirtilen biçime uygun cert.<regionName>.<externalFQDN> olduğundan emin olun.

    aşağıda Microsoft Entra kimlik Sağlayıcısı için bir klasör yapısı örneği verilmişti:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───Container Registry*
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    

*Microsoft Entra Kimliği ve ADFS için Azure Container Registry (ACR) kullanılırken geçerlidir.

Not

Dış Container Registry sertifikalarını döndüriyorsanız, kimlik sağlayıcısı alt klasöründe el ile bir Container Registry alt klasör oluşturmanız gerekir. Ayrıca, karşılık gelen .pfx sertifikasını el ile oluşturulan bu alt klasörde depolamanız gerekir.

Döndürme

Dış gizli dizileri döndürmek için aşağıdaki adımları tamamlayın:

  1. Gizli dizileri döndürmek için aşağıdaki PowerShell betiğini kullanın. Betik, Privileged EndPoint (PEP) oturumuna erişim gerektirir. PEP'ye PEP'yi barındıran sanal makinede (VM) uzak bir PowerShell oturumu üzerinden erişilir. Tümleşik bir sistem kullanıyorsanız, her biri farklı konaklarda bir VM içinde (Prefix-ERCS01, Prefix-ERCS02 veya Prefix-ERCS03) çalışan üç PEP örneği vardır. Betik aşağıdaki adımları gerçekleştirir:

    • CloudAdmin hesabını kullanarak Privileged uç noktasıyla bir PowerShell Oturumu oluşturur ve oturumu değişken olarak depolar. Bu değişken bir sonraki adımda parametre olarak kullanılır.

    • Invoke-Command komutunu çalıştırarak PEP oturum değişkenini -Session parametre olarak geçirir.

    • Aşağıdaki parametreleri kullanarak PEP oturumunda çalışır Start-SecretRotation . Daha fazla bilgi için bkz. Start-SecretRotation başvurusu:

      Parametre Değişken Açıklama
      -PfxFilesPath $CertSharePath Örneğin, Hazırlık bölümünün\\<IPAddress>\<ShareName>\Certificates 6. adımında açıklandığı gibi sertifika kök klasörünüzün ağ yolu.
      -PathAccessCredential $CertShareCreds Paylaşım kimlik bilgileri için PSCredential nesnesi.
      -CertificatePassword $CertPassword Oluşturulan tüm pfx sertifika dosyaları için kullanılan parolanın güvenli dizesi.
    # Create a PEP session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run secret rotation
    $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPsession -ScriptBlock {
        param($CertSharePath, $CertPassword, $CertShareCreds )
        Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
    } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
    Remove-PSSession -Session $PEPSession
    
  2. Dış gizli dizi döndürme yaklaşık bir saat sürer. Başarıyla tamamlandıktan sonra konsolunuz bir ActionPlanInstanceID ... CurrentStatus: Completed ileti görüntüler ve ardından Action plan finished with status: 'Completed'öğesini görüntüler. Sertifikalarınızı Hazırlık bölümünde oluşturulan paylaşımdan kaldırın ve güvenli yedekleme konumlarında depolayın.

    Not

    Gizli dizi döndürme başarısız olursa, hata iletisindeki yönergeleri izleyin ve parametresiyle -ReRun yeniden çalıştırınStart-SecretRotation.

    Start-SecretRotation -ReRun
    

    Yinelenen gizli dizi döndürme hatalarıyla karşılaşırsanız desteğe başvurun.

  3. İsteğe bağlı olarak, tüm dış sertifikaların döndürüldüğünü onaylamak için aşağıdaki betiği kullanarak Test-AzureStack doğrulama aracını çalıştırın:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
    

İç gizli dizileri döndürme

İç gizli diziler, Azure Stack Hub Operatörünün müdahalesi olmadan Azure Stack Hub altyapısı tarafından kullanılan sertifikaları, parolaları, güvenli dizeleri ve anahtarları içerir. İç gizli dizi döndürme işlemi yalnızca bir gizli dizinin gizliliği tehlikeye atıldıysa veya bir süre sonu uyarısı aldıysanız gereklidir.

1811 öncesi dağıtımlar, bekleyen iç sertifika veya gizli süre sonu uyarıları görebilir. Bu uyarılar yanlıştır ve yoksayılmalıdır ve 1811'de çözülen bilinen bir sorundur.

İç gizli dizileri döndürmek için aşağıdaki adımları tamamlayın:

  1. Aşağıdaki PowerShell betiğini çalıştırın. İç gizli dizi döndürme için bildirim, "Gizli Dizi Döndürmeyi Çalıştır" bölümü yalnızca -InternalStart-SecretRotation cmdlet'i için parametresini kullanır:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Not

    1811 öncesi sürümler bayrağı gerektirmez -Internal .

  2. Başarıyla tamamlandıktan sonra konsolunuz bir ActionPlanInstanceID ... CurrentStatus: Completed ileti görüntüler ve ardından Action plan finished with status: 'Completed'öğesini görüntüler.

    Not

    Gizli dizi döndürme başarısız olursa, hata iletisindeki yönergeleri izleyin ve Start-SecretRotation komutunu -Internal ve -ReRun parametreleriyle yeniden çalıştırın.

    Start-SecretRotation -Internal -ReRun
    

    Yinelenen gizli dizi döndürme hatalarıyla karşılaşırsanız desteğe başvurun.

Azure Stack Hub kök sertifikayı döndürme

Azure Stack Hub kök sertifikası, dağıtım sırasında beş yıl süreyle sağlanır. 2108'den başlayarak, iç gizli dizi döndürme de kök sertifikayı döndürür. Standart gizli dizi süre sonu uyarısı, kök sertifikanın süre sonunu tanımlar ve hem 90 (uyarı) hem de 30 (kritik) günde uyarılar oluşturur.

Kök sertifikayı döndürmek için sisteminizi 2108'e güncelleştirmeniz ve iç gizli dizi döndürme gerçekleştirmeniz gerekir.

Aşağıdaki kod parçacığı, kök sertifikanın sona erme tarihini listelemek için Privileged Endpoint kullanır:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

BMC kimlik bilgilerini güncelleştirme

Temel kart yönetim denetleyicisi sunucularınızın fiziksel durumunu izler. BMC'nin kullanıcı hesabı adını ve parolasını güncelleştirme yönergeleri için özgün donanım üreticinize (OEM) başvurun.

Not

OEM'niz ek yönetim uygulamaları sağlayabilir. Diğer yönetim uygulamalarının kullanıcı adını veya parolasını güncelleştirmenin BMC kullanıcı adı veya parolası üzerinde hiçbir etkisi yoktur.

  1. OEM yönergelerinizi izleyerek Azure Stack Hub fiziksel sunucularında BMC'yi güncelleştirin. Ortamınızdaki her BMC için kullanıcı adı ve parola aynı olmalıdır. BMC kullanıcı adları 16 karakteri aşamaz.
  1. Artık OEM yönergelerinizi izleyerek önce Azure Stack Hub fiziksel sunucularında BMC kimlik bilgilerini güncelleştirmeniz gerekmez. Ortamınızdaki her BMC için kullanıcı adı ve parola aynı olmalıdır ve 16 karakteri aşamaz.
  1. Azure Stack Hub oturumlarında ayrıcalıklı bir uç nokta açın. Yönergeler için bkz. Azure Stack Hub'da ayrıcalıklı uç noktayı kullanma.

  2. Ayrıcalıklı bir uç nokta oturumu açtıktan sonra, Set-BmcCredential komutunu çalıştırmak için Invoke-Command kullanan aşağıdaki PowerShell betiklerinden birini çalıştırın. Set-BMCCredential ile isteğe bağlı -BypassBMCUpdate parametresini kullanırsanız, BMC'deki kimlik bilgileri güncelleştirilmez. Yalnızca Azure Stack Hub iç veri deposu güncelleştirilir. Ayrıcalıklı uç nokta oturum değişkeninizi parametre olarak geçirin.

    Aşağıda kullanıcı adı ve parola isteyecek örnek bir PowerShell betiği verilmiştir:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    Kullanıcı adını ve parolayı daha az güvenli olabilecek değişkenlerde de kodlayabilirsiniz:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Başvuru: Start-SecretRotation cmdlet'i

Start-SecretRotation cmdlet'i bir Azure Stack Hub sisteminin altyapı gizli dizilerini döndürür. Bu cmdlet yalnızca parametrede PEP oturumunu -Session geçiren bir Invoke-Command betik bloğu kullanılarak Azure Stack Hub ayrıcalıklı uç noktasında yürütülebilir. Varsayılan olarak, yalnızca tüm dış ağ altyapısı uç noktalarının sertifikalarını döndürür.

Parametre Tür Gerekli Position Varsayılan Açıklama
PfxFilesPath Dize Yanlış Adlı Hiçbiri Tüm dış ağ uç noktası sertifikalarını içeren \Certificates kök klasörünün dosya paylaşımı yolu. Yalnızca dış gizli diziler döndürülirken gereklidir. Yol \Sertifikalar klasörüyle bitmelidir, örneğin \\<IPAddress>\<ShareName>\Certificates.
CertificatePassword Securestring Yanlış Adlı Hiçbiri -PfXFilesPath'te sağlanan tüm sertifikaların parolası. Dış gizli diziler döndürüldüğünde PfxFilesPath sağlanıyorsa gerekli değer.
Internal Dize Yanlış Adlı Hiçbiri Azure Stack Hub operatörü iç altyapı gizli dizilerini döndürmek istediğinde iç bayrağın kullanılması gerekir.
PathAccessCredential PSCredential Yanlış Adlı Hiçbiri Tüm dış ağ uç noktası sertifikalarını içeren \Certificates dizininin dosya paylaşımı için PowerShell kimlik bilgisi. Yalnızca dış gizli diziler döndürülirken gereklidir.
ReRun SwitchParameter Yanlış Adlı Hiçbiri Başarısız bir girişimden sonra gizli dizi döndürme yeniden denendikten sonra her zaman kullanılmalıdır.

Syntax

Dış gizli dizi döndürme için

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

İç gizli dizi döndürme için

Start-SecretRotation [-Internal]  

Dış gizli dizi döndürme yeniden çalıştırması için

Start-SecretRotation [-ReRun]

İç gizli dizi döndürme yeniden çalıştırması için

Start-SecretRotation [-ReRun] [-Internal]

Örnekler

Yalnızca iç altyapı gizli dizilerini döndürme

Bu komut, Azure Stack Hub ortamınızın ayrıcalıklı uç noktası üzerinden çalıştırılmalıdır.

PS C:\> Start-SecretRotation -Internal

Bu komut, Azure Stack Hub iç ağına sunulan tüm altyapı gizli dizilerini döndürür.

Yalnızca dış altyapı gizli dizilerini döndürme

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Bu komut, Azure Stack Hub'ın dış ağ altyapısı uç noktaları için kullanılan TLS sertifikalarını döndürür.

İç ve dış altyapı gizli dizilerini döndürme (yalnızca 1811 öncesi )

Önemli

Bu komut yalnızca iç ve dış sertifikalar için döndürme bölündüğünden Azure Stack Hub 1811 öncesi için geçerlidir.

1811+ ile artık hem iç hem de dış sertifikaları döndüremezsiniz!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Bu komut, Azure Stack Hub iç ağına sunulan altyapı gizli dizilerini ve Azure Stack Hub'ın dış ağ altyapısı uç noktaları için kullanılan TLS sertifikalarını döndürür. Start-SecretRotation yığın tarafından oluşturulan tüm gizli dizileri döndürür ve sağlanan sertifikalar olduğundan dış uç nokta sertifikaları da döndürülür.

Sonraki adımlar

Azure Stack Hub güvenliği hakkında daha fazla bilgi edinin