Az Azure Stack Hub titkos kulcsainak rotálása

Ez a cikk útmutatást nyújt a titkos adatok rotációjának végrehajtásához, hogy biztonságos kommunikációt tartsunk fenn Azure Stack Hub infrastruktúra-erőforrásokkal és -szolgáltatásokkal.

Áttekintés

Azure Stack Hub titkos kulcsok segítségével tartja fenn az infrastruktúra-erőforrásokkal és -szolgáltatásokkal való biztonságos kommunikációt. Az infrastruktúra integritásának Azure Stack Hub érdekében a kezelőknek képesnek kell lenniük a titkos kulcsok olyan gyakoriságú váltogatatára, amely összhangban van a szervezet biztonsági követelményeivel.

Ha a titkos kulcsok lejárnak, a következő riasztások jönnek létre a felügyeleti portálon. A titkos tok rotációja a következő riasztásokat oldja meg:

  • Függőben lévő szolgáltatásfiók jelszavának lejárata
  • Belső tanúsítvány lejárata miatt függőben
  • Külső tanúsítvány lejárata miatt függőben

Figyelmeztetés

A felügyeleti portálon a riasztások két fázisa aktiválódik a lejárat előtt:

  • A lejárat előtt 90 nappal figyelmeztető riasztás jön létre.
  • A lejárat előtt 30 nappal kritikus riasztás jön létre.

Az értesítések fogadása esetén rendkívül fontos a titkos adatok rotációja. Ha ezt nem teszi meg, az a számítási feladatok elvesztéséhez és a Azure Stack Hub a saját költségén való ismételt üzembe kimaradáshoz vezethet!

A riasztások figyelésével és szervizelésével kapcsolatos további információkért lásd: Állapot és riasztások figyelése a Azure Stack Hub.

Megjegyzés

Azure Stack Hub 1811 előtti verziójú környezetekben riasztások hatnak függőben lévő belső tanúsítványra vagy titkos kulcs lejáratra. Ezek a riasztások pontatlanok, és figyelmen kívül kell hagyni a titkos adatok belső rotációja nélkül. A pontatlan belső titkos kulcs lejárati riasztásai ismert probléma, amely 1811-ben megoldódott. A belső titkos kulcsok csak akkor járnak le, ha a környezet már két éve aktív.

Előfeltételek

  1. Erősen ajánlott a Azure Stack Hub támogatott verzióját használni, és a példánya által futtatott Azure Stack Hub legújabb elérhető gyorsjavítást alkalmazni. Ha például a 2008-as verziót futtatja, győződjön meg arról, hogy a 2008-as verzióhoz elérhető legújabb gyorsjavítást telepítette.

    Fontos

    Az 1811 előtti verziókhoz:

    • Ha a titkos tok rotációja már végre lett hajtva, a titkos tok rotációja újra végrehajtása előtt frissítenie kell az 1811-es vagy újabb verzióra. A titkos adatrotációt a kiemelt végponton keresztül kell végrehajtani, és a Azure Stack Hub hitelesítő adatait kell igényelnie. Ha nem tudja, hogy futott-e titkos irányú rotáció a környezetben, frissítsen az 1811-es verzióra a titkos tok rotációja előtt.
    • A bővítménygazdatanúsítványok hozzáadásához nem kell titkos kulcsok váltogatása. A bővítmény gazdagéptanúsítványok hozzáadásához kövesse Azure Stack Hub felkészülés a bővítménygazdára cikkben található utasításokat.
  2. Értesítse a felhasználókat a tervezett karbantartási műveletekről. A normál karbantartási időszakokat a lehető legnagyobb mértékben ütemezi munkaidőn kívüli időszakra. A karbantartási műveletek hatással lehetnek a felhasználói számítási feladatokra és a portálműveletre is.

  3. A titkos kulcsok rotációja során az operátorok észrevehetnek nyitott és automatikusan lezáró riasztásokat. Ez a viselkedés elvárt, a riasztások így figyelmen kívül hagyhatók. Az operátorok a Test-AzureStack PowerShell-parancsmaghasználatával ellenőrizhetik a riasztások érvényességét. Az System Center Operations Manager rendszert Azure Stack Hub kezelők karbantartási módba helyezésével megakadályozhatják, hogy ezek a riasztások elérjék az ITSM-rendszereiket, de továbbra is riasztást küld, ha az Azure Stack Hub rendszer elérhetetlenné válik.

Külső titkos kulcsok elforgatása

Fontos

Külső titkos adatok rotációja a következő hez:

Ez a szakasz a külső szolgáltatások biztonságossá tára érdekében használt tanúsítványok rotációját foglalja magában. Ezeket a tanúsítványokat a Azure Stack Hub szolgáltató biztosítja a következő szolgáltatásokhoz:

  • Felügyeleti portál
  • Nyilvános portál
  • Rendszergazdai Azure Resource Manager
  • Globális Azure Resource Manager
  • Rendszergazdai Key Vault
  • Key Vault
  • Rendszergazdai bővítménygazda
  • ACS (beleértve a blobot, a táblát és a Queue Storage-et)
  • ADFS*
  • Graph*

*Összevont szolgáltatások (Active Directory szolgáltatások (AD FS) AD FS.

Előkészítés

A külső titkos kulcsok rotációja előtt:

  1. Futtassa a PowerShell-parancsmagot a paraméterrel, hogy a titkos kulcsok rotása előtt ellenőrizze, hogy az összes teszt kimenete Test-AzureStack-group SecretRotationReadiness kifogástalan-e.

  2. Készítse elő a helyettesítő külső tanúsítványok új készletét:

    • Az új készletnek meg kell egyeznie a PKI Azure Stack Hub követelmények című Azure Stack Hub ismertetett tanúsítványsokkal.

    • Hozzon létre egy tanúsítvány-aláírási kérelmet (CSR), amely elküldhető a hitelesítésszolgáltatónak (CA). Kövesse a Tanúsítvány-aláírási kérelmek létrehozása és előkészítése a saját környezetében való használatra című Azure Stack Hub A PKI-tanúsítványok előkészítése című dokumentum lépéseit. Azure Stack Hub a következő környezetben támogatja az új hitelesítésszolgáltatótól (CA) származó külső tanúsítványok titkos rotációját:

      Elforgatás a hitelesítésszolgáltatóról Elforgatás hitelesítésszolgáltatóra Azure Stack Hub verzió támogatása
      Self-Signed Enterprise 1903-as & újabb
      Self-Signed Self-Signed Nem támogatott
      Self-Signed Nyilvános* 1803-as & újabb
      Enterprise Enterprise 1803-as & újabb; 1803-1903, ha a telepítés során használt vállalati hitelesítésszolgáltató
      Enterprise Self-Signed Nem támogatott
      Enterprise Nyilvános* 1803-as & újabb
      Nyilvános* Enterprise 1903-as & újabb
      Nyilvános* Self-Signed Nem támogatott
      Nyilvános* Nyilvános* 1803-as & újabb

      *A megbízható *

    • Ellenőrizze az ön által előkészített tanúsítványokat a PKI-tanúsítványok ellenőrzése című dokumentumban ismertetett lépésekkel.

    • Győződjön meg arról, hogy a jelszó nem tartalmaz különleges karaktereket, például * vagy ) .

    • Győződjön meg arról, hogy a PFX-titkosítás TripleDES-SHA1. Ha problémát fog megoldani, tekintse meg a PKI-tanúsítványok gyakori Azure Stack Hub kapcsolatos problémákat.

  3. Biztonsági másolat tárolása a rotációhoz használt tanúsítványokban egy biztonságos biztonsági mentési helyen. Ha a rotáció lefut, majd sikertelen, cserélje le a fájlmegosztásban található tanúsítványokat a biztonsági másolatokra, mielőtt újra futtatja a rotációt. A biztonsági másolatokat a biztonsági mentés biztonságos helyén kell tartani.

  4. Hozzon létre egy fájlmegosztást, amely elérhető az ERCS virtuális gépekről. A fájlmegosztásnak olvashatónak és írhatónak kell lennie a CloudAdmin-identitás számára.

  5. Nyisson meg egy PowerShell ISE-konzolt egy olyan számítógépről, amely hozzáfér a fájlmegosztáshoz. Lépjen a fájlmegosztásra, ahol könyvtárakat hozhat létre a külső tanúsítványok helyének létrehozásához.

  6. Töltse CertDirectoryMaker.ps1 hálózati fájlmegosztásra, és futtassa a szkriptet. A szkript létrehoz egy mappastruktúrát, amely az identitásszolgáltatótól függően a .\Certificates\AAD vagy a .\Certificates\ADFSmappastruktúrát követi. A mappastruktúrának egy \Certificates mappával kell kezdődnie, amelyet csak egy \AAD\ADFS mappa követ. Az összes többi alkönyvtár az előző struktúrában található. Például:

    • Fájlmegosztás = \\ IPAddress > \ < ShareName >
    • Tanúsítvány gyökérmappa az Azure AD-szolgáltatóhoz = \Certificates\AAD
    • Teljes elérési út = \\ IPAddress > \ < ShareName > \Certificates\AAD

    Fontos

    Ha később Start-SecretRotation futtatja, a rendszer ellenőrzi a mappastruktúrát. A nem megfelelő mappastruktúra a következő hibaüzenetet fogja tartalmazni:

    Cannot bind argument to parameter 'Path' because it is null.
    + CategoryInfo          : InvalidData: (:) [Test-Certificate], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Test-Certificate
    + PSComputerName        : xxx.xxx.xxx.xxx
    
  7. Másolja a 2. lépésben létrehozott helyettesítő külső tanúsítványok új készletét a 6. lépésben létrehozott \Certificates\ IdentityProvider > könyvtárba. Mindenképpen kövesse a cert.<regionName>.<externalFQDN>< CertName > formátumát.

    Az alábbi példában az Azure AD identitásszolgáltató mappastruktúrája található:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    
    

Változtatás

Külső titkos kulcsok elforgatása érdekében kövesse az alábbi lépéseket:

  1. A következő PowerShell-szkript használatával váltsa át a titkos adatokat. A szkriptnek hozzá kell férni egy Privileged EndPoint- (PEP-) munkamenethez. A PEP a PEP-t tartalmazó virtuális gépen (VM) egy távoli PowerShell-munkameneten keresztül érhető el. Integrált rendszer használata esetén a PEP három példánya fut egy virtuális gépen (Prefix-ERCS01, Prefix-ERCS02 vagy Prefix-ERCS03) különböző gazdagépen.

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPsession -ScriptBlock {
        param($certSharePath, $certPassword, $certShareCreds )
        Start-SecretRotation -PfxFilesPath $certSharePath -PathAccessCredential $certShareCreds -CertificatePassword $certPassword
    } -ArgumentList ($certSharePath, $certPassword, $certShareCreds)
    Remove-PSSession -Session $PEPSession
    

    A szkript a következő lépéseket hajtja végre:

    • Létrehoz egy PowerShell-munkamenetet a Kiemelt végponttal a CloudAdmin-fiók használatával, és változóként tárolja a munkamenetet. A következő lépésben ezt a változót használjuk paraméterként.

    • Futtatja az Invoke-Commandparancsot, paraméterként átadva a PEP-munkamenet változóját.

    • A Start-SecretRotation PEP-munkamenetben fut le a következő paraméterekkel:

      • -PfxFilesPath: A korábban létrehozott Tanúsítványok könyvtár hálózati elérési útja.
      • -PathAccessCredential: A megosztáshoz használt hitelesítő adatok PSCredential objektuma.
      • -CertificatePassword: Az összes létrehozott PFX-tanúsítványfájlhoz használt jelszó biztonságos sztringe.
  2. A külső titkos adatok rotációja körülbelül egy órát vesz igénybe. A sikeres befejezés után a konzolon megjelenik egy ActionPlanInstanceID ... CurrentStatus: Completed üzenet, majd a Action plan finished with status: 'Completed' következő: . Távolítsa el a tanúsítványokat az Előkészítés szakaszban létrehozott megosztásból, és tárolja őket a biztonságos biztonsági mentési helyen.

    Megjegyzés

    Ha a titkoskód-rotáció sikertelen, kövesse a hibaüzenetben található utasításokat, és futtassa újra Start-SecretRotation a -ReRun paraméterrel.

    Start-SecretRotation -ReRun
    

    Ha ismétlődő titkos forgatási hibákat tapasztal, lépjen kapcsolatba az ügyfélszolgálattal.

  3. Ha meg kell erősítenie, hogy minden külső tanúsítványt elforgattak, futtassa a Test-AzureStack érvényesítési eszközt a következő szkript használatával:

    Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
    

Belső titkos kulcsok elforgatása

A belső titkos kulcsok az Azure Stack Hub-infrastruktúra által az Azure Stack Hub operátorának közreműködése nélkül használt tanúsítványok, jelszavak, biztonságos sztringek és kulcsok lehetnek. A belső titkos kulcsok leváltására csak akkor van szükség, ha azt gyanítja, hogy sérült valamelyiknek a biztonsága, vagy a kulcs lejáratára figyelmeztető riasztást kapott.

Az 1811 előtti üzemelő példányok riasztásokat láthatnak függőben lévő belső tanúsítvány vagy titkos kulcs lejárata esetén. Ezek a riasztások pontatlanok, és figyelmen kívül kell hagyni őket, és egy ismert probléma, amely 1811-ben megoldódott.

Belső titkos kulcsok váltogatása érdekében kövesse az alábbi lépéseket:

  1. Futtassa a következő PowerShell-szkriptet. Figyelje meg, hogy a belső titkos tokrotálásnál a "Titkos forgatás futtatása" szakasz csak a -Internal-Internalparancsmag paraméterét használja:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    # Run Secret Rotation
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Megjegyzés

    Az 1811 előtti verziók nem igénylik a -Internal jelzőt.

  2. A sikeres befejezés után a konzolon megjelenik egy ActionPlanInstanceID ... CurrentStatus: Completed üzenet, majd a Action plan finished with status: 'Completed' következő: .

    Megjegyzés

    Ha a titkos kulcsok leváltása meghiúsul, kövesse a hibaüzenetben található utasításokat, és futtassa ismét a Start-SecretRotation parancsot az -Internal és -ReRun paraméterekkel.

    Start-SecretRotation -Internal -ReRun
    

    Ha ismétlődő titkos forgatási hibákat tapasztal, lépjen kapcsolatba az ügyfélszolgálattal.

A BMC hitelesítő adatainak frissítése

Az alaplapi felügyeleti vezérlő a kiszolgálók fizikai állapotát figyeli. A BMC felhasználói fióknevének és jelszavának frissítésére vonatkozó utasításokért tekintse meg az eredeti hardvergyártó (OEM) hardverszállítóját.

Megjegyzés

Az OEM további felügyeleti alkalmazásokat is nyújthat. Más felügyeleti alkalmazások felhasználónevének vagy jelszavának frissítése nincs hatással a BMC-felhasználónévre vagy -jelszóra.

  1. Frissítse a BMC-t Azure Stack Hub fizikai kiszolgálókon az OEM utasításait követve. A környezetben található minden BMC felhasználónevének és jelszavának azonosnak kell lennie. A BMC-felhasználónevek hossza nem haladhatja meg a 16 karaktert.
  1. Már nem szükséges, hogy először frissítse a BMC hitelesítő adatait a Azure Stack Hub fizikai kiszolgálókon az OEM utasításainak megfelelően. A környezetben található minden BMC felhasználónevének és jelszavának azonosnak kell lennie, és nem lehet hosszabb 16 karakternél.
  1. Nyisson meg egy kiemelt végpontot Azure Stack Hub munkamenetekben. Útmutatásért lásd: A kiemelt végpont használata a Azure Stack Hub.

  2. Egy kiemelt végponti munkamenet megnyitása után futtassa az alábbi PowerShell-szkriptek valamelyikét, amelyek Invoke-Command Set-BmcCredential parancsprogram futtatásához. Ha az opcionális -BypassBMCUpdate paramétert a Set-BMCCredential paraméterrel használja, a BMC hitelesítő adatai nem frissülnek. Csak a Azure Stack Hub belső adattár frissül. Adja át paraméterként a kiemelt végpont munkamenet-változóját.

    Az alábbi PowerShell-példaszkprogram kéri a felhasználónevet és a jelszót:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    A felhasználónevet és a jelszót változókban is kódolhatja, ami kevésbé biztonságos:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Referencia: Start-SecretRotation parancsmag

A Start-SecretRotation parancsmag elforgatja egy Azure Stack Hub titkos infrastruktúráját. Ez a parancsmag csak az emelt Azure Stack Hub végponton hajtható végre a PEP-munkamenetet a paraméterben átadva egy szkriptblokk Invoke-Command-Session használatával. Alapértelmezés szerint csak az összes külső hálózati infrastruktúra-végpont tanúsítványait váltja fel.

Paraméter Típus Kötelező Pozíció Alapértelmezett Leírás
PfxFilesPath Sztring Hamis Nevezett None Az összes külső hálózati végpont tanúsítványát tartalmazó \Certificates könyvtár fájlmegosztási útvonala. Csak külső titkos kulcsok rotozása esetén szükséges. A záró könyvtárnak \Certificatesnak kell lennie.
CertificatePassword SecureString Hamis Nevezett None A -PfXFilesPath fájlban megadott összes tanúsítvány jelszava. Kötelező érték, ha a PfxFilesPath meg van téve a külső titkos kulcsok váltogatása esetén.
Internal Sztring Hamis Nevezett None Belső jelzőt kell használni minden olyan Azure Stack Hub, amikor a kezelő belső infrastruktúra-titkos kulcsok váltogatni kíván.
PathAccessCredential PSCredential Hamis Nevezett None A \Certificates könyvtár fájlmegosztásának PowerShell-hitelesítő adatai, amely az összes külső hálózati végponti tanúsítványt tartalmazza. Csak külső titkos kulcsok rotozása esetén szükséges.
ReRun Kapcsolóparaméter Hamis Nevezett None Mindig használni kell, ha egy sikertelen kísérlet után újra kell próbálkozni a titkos forgatásokkal.

Syntax

Külső titkos adatok rotációja

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Belső titkos tokrotációhoz

Start-SecretRotation [-Internal]  

Külső titkos adatok rotációja újrafuttatása

Start-SecretRotation [-ReRun]

Belső titkos tokrotáció újrafuttatása

Start-SecretRotation [-ReRun] [-Internal]

Példák

Csak a belső infrastruktúra titkos kulcsok forgása

Ezt a parancsot a Azure Stack Hub környezet kiemelt végpontjának használatával kell futtatni.

PS C:\> Start-SecretRotation -Internal

Ez a parancs a belső hálózaton elérhetővé Azure Stack Hub összes infrastruktúratitkot elforgatja.

Csak a külső infrastruktúra titkos kulcsok forgása

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($certSharePath, $certPassword, $certShareCreds )
    Start-SecretRotation -PfxFilesPath $certSharePath -PathAccessCredential $certShareCreds -CertificatePassword $certPassword
} -ArgumentList ($certSharePath, $certPassword, $certShareCreds)
Remove-PSSession -Session $PEPSession

Ez a parancs elforgatja a Azure Stack Hub hálózati infrastruktúra külső végpontjaihoz használt TLS-tanúsítványokat.

Belső és külső infrastruktúra titkos kulcsok felforgatása (csakaz 1811-es előtti)

Fontos

Ez a parancs csak az 1811 Azure Stack Hub előtti tanúsítványokra vonatkozik, mivel a belső és külső tanúsítványok rotációja fel lett osztva.

Az 1811-es és a külső tanúsítványok már nem váltogathatóak!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Ez a parancs a belső hálózat számára Azure Stack Hub infrastruktúra titkos kulcsok és a Azure Stack Hub hálózati infrastruktúra végpontjaihoz használt TLS-tanúsítványok forgatása. Start-SecretRotation az összes verem által létrehozott titkos adatokat, és mivel rendelkezésre állnak tanúsítványok, a külső végponti tanúsítványok is le lesznek forgatva.

Következő lépések

További információ a Azure Stack Hub biztonságról