Geheimen roteren in Azure Stack Hub

Artikel
03/29/2024

Dit artikel bevat richtlijnen voor het uitvoeren van geheimrotatie om veilige communicatie met azure Stack Hub-infrastructuurresources en -services te onderhouden.

Overzicht

Azure Stack Hub maakt gebruik van geheimen om veilige communicatie met infrastructuurresources en -services te onderhouden. Om de integriteit van de Azure Stack Hub-infrastructuur te behouden, moeten operators de mogelijkheid hebben om geheimen te roteren met frequenties die consistent zijn met de beveiligingsvereisten van hun organisatie.

Wanneer geheimen bijna verlopen, worden de volgende waarschuwingen gegenereerd in de beheerdersportal. Als u het rouleren van geheimen voltooit, worden deze waarschuwingen opgelost:

Verlopen van serviceaccountwachtwoord in behandeling
Verlopen van intern certificaat in behandeling
Verlopen van extern certificaat in behandeling

Waarschuwing

Er zijn 2 fasen van waarschuwingen geactiveerd in de beheerdersportal voordat ze verlopen:

90 dagen voor de vervaldatum wordt een waarschuwing gegenereerd.
30 dagen voor de vervaldatum wordt een kritieke waarschuwing gegenereerd.

Het is essentieel dat u het rouleren van geheimen voltooit als u deze meldingen ontvangt. Als u dit niet doet, kan dit leiden tot het verlies van workloads en een mogelijke herimplementatie van Azure Stack Hub op eigen kosten.

Zie Status en waarschuwingen bewaken in Azure Stack Hub voor meer informatie over het bewaken en herstellen van waarschuwingen.

Notitie

Azure Stack Hub-omgevingen in versies van vóór 1811 kunnen waarschuwingen zien voor het verlopen van interne certificaten of geheimen die in behandeling zijn. Deze waarschuwingen zijn onnauwkeurig en moeten worden genegeerd zonder interne geheimrotatie uit te voeren. Onnauwkeurige waarschuwingen voor het verlopen van interne geheimen zijn een bekend probleem dat is opgelost in 1811. Interne geheimen verlopen alleen als de omgeving twee jaar actief is geweest.

Vereisten

Het wordt ten zeerste aanbevolen dat u een ondersteunde versie van Azure Stack Hub uitvoert en dat u de meest recente beschikbare hotfix toepast voor de Azure Stack Hub-versie die op uw exemplaar wordt uitgevoerd. Als u bijvoorbeeld 2008 gebruikt, controleert u of u de meest recente hotfix voor 2008 hebt geïnstalleerd.
Belangrijk

Voor versies van vóór 1811:
- Als het roteren van geheimen al is uitgevoerd, moet u bijwerken naar versie 1811 of hoger voordat u opnieuw de geheime rotatie uitvoert. Geheimrotatie moet worden uitgevoerd via het bevoegde eindpunt en vereist azure Stack Hub-operatorreferenties. Als u niet weet of het rouleren van geheimen is uitgevoerd in uw omgeving, moet u een update uitvoeren naar 1811 voordat u de geheimrotatie uitvoert.
- U hoeft geheimen niet te roteren om extensiehostcertificaten toe te voegen. Volg de instructies in het artikel Voorbereiden op extensiehost voor Azure Stack Hub om extensiehostcertificaten toe te voegen.
Informeer uw gebruikers over geplande onderhoudsbewerkingen. Plan normale onderhoudsvensters zoveel mogelijk in tijdens niet-kantooruren. Onderhoudsbewerkingen kunnen van invloed zijn op zowel gebruikersworkloads als portalbewerkingen.
Genereer aanvragen voor certificaatondertekening voor Azure Stack Hub.
Azure Stack Hub PKI-certificaten voorbereiden.
Tijdens het roteren van geheimen kunnen operators waarschuwingen zien die worden geopend en automatisch worden gesloten. Dit is verwacht gedrag en deze waarschuwingen kunnen worden genegeerd. Operators kunnen de geldigheid van deze waarschuwingen controleren met behulp van de PowerShell-cmdlet Test-AzureStack. Operators die System Center Operations Manager gebruiken om Azure Stack Hub-systemen te bewaken en een systeem in de onderhoudsmodus plaatsen, voorkomt dat deze waarschuwingen hun ITSM-systemen bereiken. Er blijven echter waarschuwingen komen als het Azure Stack Hub-systeem onbereikbaar wordt.

Externe geheimen draaien

Belangrijk

Rotatie van extern geheim voor:

Niet-certificaatgeheimen, zoals beveiligde sleutels en tekenreeksen , moeten handmatig door de beheerder worden uitgevoerd. Dit omvat wachtwoorden voor gebruikers- en beheerdersaccounts en wachtwoorden voor netwerkswitchs.
RP-geheimen (Value-Add Resource Provider) worden behandeld onder afzonderlijke richtlijnen:
BMC-referenties (Baseboard Management Controller) is een handmatig proces, dat verderop in dit artikel wordt behandeld.
Azure Container Registry externe certificaten is een handmatig proces, dat verderop in dit artikel wordt behandeld.

In deze sectie wordt het rouleren van certificaten behandeld die worden gebruikt voor het beveiligen van extern gerichte services. Deze certificaten worden geleverd door de Azure Stack Hub Operator voor de volgende services:

Beheerdersportal
Openbare portal
Azure-Resource Manager voor beheerders
Wereldwijde Azure Resource Manager
Beheerders Key Vault
Key Vault
Beheer-extensiehost
ACS (inclusief blob-, tabel- en wachtrijopslag)
ADFS¹
Grafiek¹
Container Registry²

¹Van toepassing bij gebruik van Active Directory Federated Services (ADFS).

²Van toepassing bij gebruik van Azure Container Registry (ACR).

Voorbereiding

Vóór rotatie van externe geheimen:

Voer de Test-AzureStack PowerShell-cmdlet uit met behulp van de -group SecretRotationReadiness parameter om te controleren of alle testuitvoer in orde is voordat geheimen worden gedraaid.

Bereid een nieuwe set vervangende externe certificaten voor:

De nieuwe set moet overeenkomen met de certificaatspecificaties die worden beschreven in de PKI-certificaatvereisten voor Azure Stack Hub.

Genereer een aanvraag voor certificaatondertekening (CSR) om naar uw certificeringsinstantie (CA) te verzenden. Gebruik de stappen die worden beschreven in Aanvragen voor certificaatondertekening genereren en bereid deze voor op gebruik in uw Azure Stack Hub-omgeving met behulp van de stappen in PKI-certificaten voorbereiden. Azure Stack Hub ondersteunt rotatie van geheimen voor externe certificaten van een nieuwe certificeringsinstantie (CA) in de volgende contexten:

Draaien vanuit CA	Draaien naar CA	Versieondersteuning voor Azure Stack Hub
Self-Signed	Enterprise	1903 & later
Self-Signed	Self-Signed	Niet ondersteund
Self-Signed	Openbaar^*	1803 & later
Enterprise	Enterprise	1803 & later; 1803-1903 als DEZELFDE ondernemings-CA zoals gebruikt bij de implementatie
Enterprise	Self-Signed	Niet ondersteund
Enterprise	Openbaar^*	1803 & later
Openbaar^*	Enterprise	1903 & later
Openbaar^*	Self-Signed	Niet ondersteund
Openbaar^*	Openbaar^*	1803 & later

^*Onderdeel van het vertrouwde Windows-basisprogramma.

Zorg ervoor dat u de certificaten valideert die u voorbereidt met de stappen die worden beschreven in PKI-certificaten valideren
Zorg ervoor dat het wachtwoord geen speciale tekens bevat, zoals bijvoorbeeld $,*,#,@)or'.
Zorg ervoor dat de PFX-versleuteling TripleDES-SHA1 is. Als u een probleem ondervindt, raadpleegt u Veelvoorkomende problemen met PKI-certificaten van Azure Stack Hub oplossen.

Sla een back-up op voor de certificaten die worden gebruikt voor rotatie in een veilige back-uplocatie. Als de rotatie wordt uitgevoerd en vervolgens mislukt, vervangt u de certificaten in de bestandsshare door de back-upkopieën voordat u de rotatie opnieuw uitvoert. Bewaar back-upkopieën op de veilige back-uplocatie.
Maak een bestandsshare die u kunt openen vanaf de ERCS-VM's. De bestandsshare moet leesbaar en beschrijfbaar zijn voor de CloudAdmin-identiteit .
Open een PowerShell ISE-console vanaf een computer waarop u toegang hebt tot de bestandsshare. Navigeer naar uw bestandsshare, waar u mappen maakt om uw externe certificaten te plaatsen.
Maak een map in de bestandsshare met de naam Certificates. Maak in de map certificaten een submap met de naam AAD of ADFS, afhankelijk van de id-provider die uw hub gebruikt. Bijvoorbeeld .\Certificates\AAD of .\Certificates\ADFS. Naast de map certificaten en de submap van de id-provider mogen hier geen andere mappen worden gemaakt.

Kopieer de nieuwe set vervangende externe certificaten die u in stap 2 hebt gemaakt, naar de map .\Certificates\<IdentityProvider> die u in stap 6 hebt gemaakt. Zoals hierboven vermeld, moet de submap van uw id-provider of ADFSzijnAAD. Zorg ervoor dat de alternatieve onderwerpnamen (SAN's) van uw vervangende externe certificaten de cert.<regionName>.<externalFQDN> indeling volgen die is opgegeven in PKI-certificaatvereisten (Public Key Infrastructure) van Azure Stack Hub.

Hier volgt een voorbeeld van een mapstructuur voor de Microsoft Entra id-provider:

    <ShareName>
        │
        └───Certificates
              └───AAD
                  ├───ACSBlob
                  │       <CertName>.pfx
                  │
                  ├───ACSQueue
                  │       <CertName>.pfx
                  │
                  ├───ACSTable
                  │       <CertName>.pfx
                  │
                  ├───Admin Extension Host
                  │       <CertName>.pfx
                  │
                  ├───Admin Portal
                  │       <CertName>.pfx
                  │
                  ├───ARM Admin
                  │       <CertName>.pfx
                  │
                  ├───ARM Public
                  │       <CertName>.pfx
                  │
                  ├───Container Registry*
                  │       <CertName>.pfx
                  │
                  ├───KeyVault
                  │       <CertName>.pfx
                  │
                  ├───KeyVaultInternal
                  │       <CertName>.pfx
                  │
                  ├───Public Extension Host
                  │       <CertName>.pfx
                  │
                  └───Public Portal
                          <CertName>.pfx

^*Van toepassing bij het gebruik van Azure Container Registry (ACR) voor Microsoft Entra-id en ADFS.

Notitie

Als u externe Container Registry-certificaten roteert, moet u handmatig een Container Registry submap maken in de submap van de id-provider. Daarnaast moet u het bijbehorende PFX-certificaat opslaan in deze handmatig gemaakte submap.

Rotatie

Voer de volgende stappen uit om externe geheimen te roteren:

Gebruik het volgende PowerShell-script om de geheimen te roteren. Het script vereist toegang tot een PEP-sessie (Privileged EndPoint). Het PEP wordt geopend via een externe PowerShell-sessie op de virtuele machine (VM) die als host fungeert voor het PEP. Als u een geïntegreerd systeem gebruikt, zijn er drie exemplaren van het PEP, die elk worden uitgevoerd in een VM (Prefix-ERCS01, Prefix-ERCS02 of Prefix-ERCS03) op verschillende hosts. Met het script voert u de volgende stappen uit:

Hiermee maakt u een PowerShell-sessie met het Privileged-eindpunt met behulp van het CloudAdmin-account en slaat u de sessie op als een variabele. Deze variabele wordt gebruikt als een parameter in de volgende stap.
Voert Invoke-Command uit, waarbij de PEP-sessievariabele wordt doorgegeven als de -Session parameter.

Wordt uitgevoerd Start-SecretRotation in de PEP-sessie, met behulp van de volgende parameters. Zie de naslaginformatie Start-SecretRotation voor meer informatie:

Parameter	Variabele	Beschrijving
`-PfxFilesPath`	$CertSharePath	Het netwerkpad naar de basismap van uw certificaten, zoals besproken in stap 6 van de sectie Voorbereiding, bijvoorbeeld `\\<IPAddress>\<ShareName>\Certificates`.
`-PathAccessCredential`	$CertShareCreds	Het PSCredential-object voor referenties voor de share.
`-CertificatePassword`	$CertPassword	Een beveiligde tekenreeks van het wachtwoord dat wordt gebruikt voor alle pfx-certificaatbestanden die zijn gemaakt.

# Create a PEP session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run secret rotation
$CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<Network_Path_Of_CertShare>"
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Externe geheimrotatie duurt ongeveer een uur. Nadat de console is voltooid, wordt een ActionPlanInstanceID ... CurrentStatus: Completed bericht weergegeven, gevolgd door Action plan finished with status: 'Completed'. Verwijder uw certificaten uit de share die is gemaakt in de sectie Voorbereiding en sla ze op de beveiligde back-uplocatie op.
Notitie

Als het roteren van het geheim mislukt, volgt u de instructies in het foutbericht en voert u deze opnieuw uit Start-SecretRotation met de -ReRun parameter .
```
Start-SecretRotation -ReRun
```
Neem contact op met de ondersteuning als u herhaaldelijk fouten ondervindt bij het roteren van geheimen.
Als u wilt controleren of alle externe certificaten zijn geroteerd, voert u het validatieprogramma Test-AzureStack uit met behulp van het volgende script:
```
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
```

Interne geheimen roteren

Interne geheimen omvatten certificaten, wachtwoorden, beveiligde tekenreeksen en sleutels die worden gebruikt door de Azure Stack Hub-infrastructuur zonder tussenkomst van de Azure Stack Hub-operator. Rotatie van interne geheimen is alleen vereist als u vermoedt dat er een is aangetast of als u een vervaldatumwaarschuwing hebt ontvangen.

Implementaties van vóór 1811 kunnen waarschuwingen zien voor in behandeling zijnde interne certificaten of geheime vervaldatums. Deze waarschuwingen zijn onnauwkeurig en moeten worden genegeerd en zijn een bekend probleem opgelost in 1811.

Voer de volgende stappen uit om interne geheimen te roteren:

Voer het volgende PowerShell-script uit. Voor interne geheimrotatie gebruikt de sectie 'Run Secret Rotation' alleen de -Internal parameter voor de cmdlet Start-SecretRotation:

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -Internal
}
Remove-PSSession -Session $PEPSession

Notitie

Versies van vóór 1811 vereisen de -Internal vlag niet.

Nadat de console is voltooid, wordt een ActionPlanInstanceID ... CurrentStatus: Completed bericht weergegeven, gevolgd door Action plan finished with status: 'Completed'.
Notitie

Als het roteren van geheimen mislukt, volgt u de instructies in het foutbericht en voert u Start-SecretRotation opnieuw uit met de parameters -Internal en -ReRun.
```
Start-SecretRotation -Internal -ReRun
```
Neem contact op met de ondersteuning als u herhaaldelijk fouten ondervindt bij het roteren van geheimen.

Azure Stack Hub-basiscertificaat draaien

Het Azure Stack Hub-basiscertificaat wordt tijdens de implementatie ingericht met een verloop van vijf jaar. Vanaf 2108 roteert interne geheimrotatie ook het basiscertificaat. De standaardwaarschuwing voor het verlopen van geheimen identificeert de vervaldatum van het basiscertificaat en genereert waarschuwingen op zowel 90 (waarschuwing) als 30 (kritieke) dagen.

Als u het basiscertificaat wilt roteren, moet u uw systeem bijwerken naar 2108 en interne geheimrotatie uitvoeren.

In het volgende codefragment wordt het bevoegde eindpunt gebruikt om de vervaldatum van het basiscertificaat weer te geven:

$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) 
 
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }

$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan

De BMC-referentie bijwerken

De baseboard-beheercontroller bewaakt de fysieke status van uw servers. Raadpleeg de hardwareleverancier van de OEM (Original Equipment Manufacturer) voor instructies voor het bijwerken van de gebruikersnaam en het wachtwoord van de BMC.

Notitie

Uw OEM biedt mogelijk aanvullende beheer-apps. Het bijwerken van de gebruikersnaam of het wachtwoord voor andere beheer-apps heeft geen invloed op de gebruikersnaam of het wachtwoord van de BMC.

Werk de BMC op de fysieke Azure Stack Hub-servers bij door de OEM-instructies te volgen. De gebruikersnaam en het wachtwoord voor elke BMC in uw omgeving moeten hetzelfde zijn. De BMC-gebruikersnamen mogen niet langer zijn dan 16 tekens.

Het is niet langer vereist dat u eerst de BMC-referenties op de fysieke Azure Stack Hub-servers bijwerkt door de OEM-instructies te volgen. De gebruikersnaam en het wachtwoord voor elke BMC in uw omgeving moeten hetzelfde zijn en mogen niet langer zijn dan 16 tekens.

Open een bevoegd eindpunt in Azure Stack Hub-sessies. Zie Het bevoegde eindpunt gebruiken in Azure Stack Hub voor instructies.

Nadat u een bevoegde eindpuntsessie hebt geopend, voert u een van de onderstaande PowerShell-scripts uit, die Invoke-Command gebruiken om Set-BmcCredential uit te voeren. Als u de optionele parameter -BypassBMCUpdate gebruikt met Set-BMCCredential, worden referenties in de BMC niet bijgewerkt. Alleen het interne gegevensarchief van Azure Stack Hub wordt bijgewerkt. Geef de sessievariabele van uw bevoegde eindpunt door als een parameter.

Hier volgt een voorbeeld van een PowerShell-script waarmee wordt gevraagd om de gebruikersnaam en het wachtwoord:

# Interactive Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
$NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
$NewBmcUser = Read-Host -Prompt "Enter New BMC user name"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

U kunt ook de gebruikersnaam en het wachtwoord coderen in variabelen, die mogelijk minder veilig zijn:

# Static Version
$PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
$PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
$PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force
$PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
$NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force
$NewBmcUser = "<New BMC User name>"

$PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

Invoke-Command -Session $PEPSession -ScriptBlock {
    # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
    Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
}
Remove-PSSession -Session $PEPSession

Naslaginformatie: Start-SecretRotation cmdlet

De cmdlet Start-SecretRotation roteert de infrastructuurgeheimen van een Azure Stack Hub-systeem. Deze cmdlet kan alleen worden uitgevoerd op het bevoegde Eindpunt van Azure Stack Hub, met behulp van een Invoke-Command scriptblok dat de PEP-sessie doorgeeft in de -Session parameter. Standaard worden alleen de certificaten van alle eindpunten van de externe netwerkinfrastructuur geroteerd.

Parameter	Type	Vereist	Positie	Standaard	Beschrijving
`PfxFilesPath`	Tekenreeks	False	Naam	Geen	Het bestandssharepad naar de hoofdmap \Certificates die alle eindpuntcertificaten van het externe netwerk bevat. Alleen vereist bij het roteren van externe geheimen. Het pad moet eindigen op de map \Certificates , bijvoorbeeld \\<IPAddress>\<ShareName>\Certificates.
`CertificatePassword`	SecureString	Niet waar	Naam	Geen	Het wachtwoord voor alle certificaten die zijn opgegeven in -PfXFilesPath. Vereiste waarde als PfxFilesPath wordt opgegeven wanneer externe geheimen worden geroteerd.
`Internal`	Tekenreeks	Niet waar	Naam	Geen	Interne vlag moet worden gebruikt wanneer een Azure Stack Hub-operator interne infrastructuurgeheimen wil rouleren.
`PathAccessCredential`	PSCredential	False	Naam	Geen	De PowerShell-referentie voor de bestandsshare van de map \Certificates die alle externe netwerkeindpuntcertificaten bevat. Alleen vereist bij het roteren van externe geheimen.
`ReRun`	SwitchParameter	False	Naam	Geen	Moet worden gebruikt wanneer de geheimrotatie opnieuw wordt uitgevoerd na een mislukte poging.

Syntax

Voor rotatie van extern geheim

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]

Voor interne geheimrotatie

Start-SecretRotation [-Internal]

Voor rotatie van extern geheim opnieuw uitvoeren

Start-SecretRotation [-ReRun]

Voor interne geheimrotatie opnieuw uitvoeren

Start-SecretRotation [-ReRun] [-Internal]

Voorbeelden

Alleen interne infrastructuurgeheimen roteren

Deze opdracht moet worden uitgevoerd via het bevoegde eindpunt van uw Azure Stack Hub-omgeving.

PS C:\> Start-SecretRotation -Internal

Met deze opdracht roteert u alle infrastructuurgeheimen die beschikbaar zijn voor het interne netwerk van Azure Stack Hub.

Alleen geheimen van externe infrastructuur roteren

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
    param($CertSharePath, $CertPassword, $CertShareCreds )
    Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession

Met deze opdracht roteert u de TLS-certificaten die worden gebruikt voor de eindpunten van de externe netwerkinfrastructuur van Azure Stack Hub.

Interne en externe infrastructuurgeheimen roteren (alleen vóór 1811 )

Belangrijk

Deze opdracht is alleen van toepassing op Azure Stack Hub pre-1811 omdat de rotatie is gesplitst voor interne en externe certificaten.

Vanaf 1811+ kunt u zowel interne als externe certificaten niet meer draaien!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Met deze opdracht worden de infrastructuurgeheimen geroteerd die beschikbaar zijn voor het interne Azure Stack Hub-netwerk en de TLS-certificaten die worden gebruikt voor de eindpunten van de externe netwerkinfrastructuur van Azure Stack Hub. Start-SecretRotation alle door de stack gegenereerde geheimen roteert en omdat er certificaten zijn opgegeven, worden ook certificaten voor externe eindpunten geroteerd.

Volgende stappen

Meer informatie over Azure Stack Hub-beveiliging

Geheimen roteren in Azure Stack Hub

Overzicht

Vereisten

Externe geheimen draaien

Voorbereiding

Rotatie

Interne geheimen roteren

Azure Stack Hub-basiscertificaat draaien

De BMC-referentie bijwerken

Naslaginformatie: Start-SecretRotation cmdlet

Syntax

Voor rotatie van extern geheim

Voor interne geheimrotatie

Voor rotatie van extern geheim opnieuw uitvoeren

Voor interne geheimrotatie opnieuw uitvoeren

Voorbeelden

Alleen interne infrastructuurgeheimen roteren

Alleen geheimen van externe infrastructuur roteren

Interne en externe infrastructuurgeheimen roteren (alleen vóór 1811 )

Volgende stappen

Feedback

Feedback

Aanvullende resources