Rode segredos no Azure Stack HubRotate secrets in Azure Stack Hub

Este artigo fornece orientações para a realização de rotação secreta, para ajudar a manter a comunicação segura com os recursos e serviços de infraestrutura Azure Stack Hub.This article provides guidance for performing secret rotation, to help maintain secure communication with Azure Stack Hub infrastructure resources and services.

Descrição geralOverview

O Azure Stack Hub utiliza segredos para manter uma comunicação segura com recursos e serviços de infraestrutura.Azure Stack Hub uses secrets to maintain secure communication with infrastructure resources and services. Para manter a integridade da infraestrutura Azure Stack Hub, os operadores precisam da capacidade de girar segredos em frequências consistentes com os requisitos de segurança da sua organização.To maintain the integrity of the Azure Stack Hub infrastructure, operators need the ability to rotate secrets at frequencies that are consistent with their organization's security requirements.

Quando os segredos estão no prazo de 30 dias após a expiração, os seguintes alertas são gerados no portal do administrador.When secrets are within 30 days of expiration, the following alerts are generated in the administrator portal. Completar a rotação secreta resolverá estes alertas:Completing secret rotation will resolve these alerts:

  • Expiração da senha de conta de serviço pendentePending service account password expiration
  • Expiração pendente do certificado internoPending internal certificate expiration
  • Expiração do certificado externo pendentePending external certificate expiration

Nota

Os ambientes do Azure Stack Hub em versões anteriores a 1811 podem ver alertas para certificados internos pendentes ou expirações secretas.Azure Stack Hub environments on pre-1811 versions may see alerts for pending internal certificate or secret expirations. Estes alertas são imprecisos e devem ser ignorados sem executar a rotação secreta interna.These alerts are inaccurate and should be ignored without running internal secret rotation. Alertas internos imprecisos de expiração são um assunto conhecido que foi resolvido em 1811.Inaccurate internal secret expiration alerts are a known issue that's resolved in 1811. Os segredos internos não caducarão a menos que o ambiente esteja ativo há dois anos.Internal secrets won't expire unless the environment has been active for two years.

Pré-requisitosPrerequisites

  1. É altamente recomendável que atualize pela primeira vez o seu exemplo Azure Stack Hub para a versão mais recente.It's highly recommended that you first update your Azure Stack Hub instance to the latest version.

    Importante

    Para versões pré-1811:For pre-1811 versions:

    • Se a rotação secreta já tiver sido realizada, deve atualizar para a versão 1811 ou mais tarde antes de voltar a efetuar a rotação secreta.If secret rotation has already been performed, you must update to version 1811 or later before you perform secret rotation again. A Rotação Secreta deve ser executada através do Ponto Final Privilegiado e requer credenciais do Azure Stack Hub Operator.Secret Rotation must be executed via the Privileged Endpoint and requires Azure Stack Hub Operator credentials. Se não sabe se a rotação secreta foi executada no seu ambiente, atualize para 1811 antes de realizar uma rotação secreta.If you don't know whether secret rotation has been run on your environment, update to 1811 before performing secret rotation.
    • Não é necessário rodar segredos para adicionar certificados de anfitrião de extensão.You don't need to rotate secrets to add extension host certificates. Deve seguir as instruções do artigo Preparar o anfitrião de extensão para o Azure Stack Hub para adicionar certificados de anfitrião de extensão.You should follow the instructions in the article Prepare for extension host for Azure Stack Hub to add extension host certificates.
  2. Notifique os seus utilizadores das operações de manutenção planeadas.Notify your users of planned maintenance operations. Agende as janelas normais de manutenção, tanto quanto possível, durante o horário não comercial.Schedule normal maintenance windows, as much as possible, during non-business hours. As operações de manutenção podem afetar tanto as cargas de trabalho dos utilizadores como as operações do portal.Maintenance operations may affect both user workloads and portal operations.

  3. Durante a rotação de segredos, os operadores podem notar alertas abertos e automaticamente fechados.During rotation of secrets, operators may notice alerts open and automatically close. Este comportamento está previsto e os alertas podem ser ignorados.This behavior is expected and the alerts can be ignored. Os operadores podem verificar a validade destes alertas utilizando o cmdlet PowerShell test-AzureStack.Operators can verify the validity of these alerts using the Test-AzureStack PowerShell cmdlet. Para os operadores que utilizam o Gestor de Operações do Centro de Sistema para monitorizar os sistemas Azure Stack Hub, a colocação de um sistema em modo de manutenção impedirá que estes alertas cheguem aos seus sistemas ITSM, mas continuarão a alertar se o sistema Azure Stack Hub se tornar inacessível.For operators using System Center Operations Manager to monitor Azure Stack Hub systems, placing a system in maintenance mode will prevent these alerts from reaching their ITSM systems but will continue to alert if the Azure Stack Hub system becomes unreachable.

Rode segredos externosRotate external secrets

Importante

Rotação secreta externa para:External secret rotation for:

Esta secção abrange a rotação dos certificados utilizados para assegurar serviços virados para o exterior.This section covers rotation of certificates used to secure external-facing services. Estes certificados são fornecidos pelo Operador Azure Stack Hub, para os seguintes serviços:These certificates are provided by the Azure Stack Hub Operator, for the following services:

  • Portal do administradorAdministrator portal
  • Portal públicoPublic portal
  • Administrador Azure Gestor de RecursosAdministrator Azure Resource Manager
  • Global Azure Resource ManagerGlobal Azure Resource Manager
  • Cofre chave do administradorAdministrator Key Vault
  • Key VaultKey Vault
  • Anfitrião da extensão de AdminAdmin Extension Host
  • ACS (incluindo bolha, mesa e armazenamento de fila)ACS (including blob, table, and queue storage)
  • ADFS*ADFS*
  • Gráfico*Graph*

*Aplicável ao utilizar serviços federados de diretório ativo (AD FS).*Applicable when using Active Directory Federated Services (AD FS).

PreparaçãoPreparation

Antes da rotação de segredos externos:Prior to rotation of external secrets:

  1. Executar o Test-AzureStack cmdlet PowerShell utilizando o -group SecretRotationReadiness parâmetro, para confirmar que todas as saídas de teste são saudáveis antes de rodar segredos.Run the Test-AzureStack PowerShell cmdlet using the -group SecretRotationReadiness parameter, to confirm all test outputs are healthy before rotating secrets.

  2. Preparar um novo conjunto de certificados externos de substituição:Prepare a new set of replacement external certificates:

    • O novo conjunto deve corresponder às especificações do certificado descritas nos requisitos do certificado Azure Stack Hub PKI.The new set must match the certificate specifications outlined in the Azure Stack Hub PKI certificate requirements.

    • Gere um pedido de assinatura de certificado (CSR) para submeter à sua Autoridade de Certificados (CA) utilizando os passos descritos nos pedidos de assinatura de certificados Gerar e prepará-los para utilização no seu ambiente Azure Stack Hub utilizando os passos nos certificados Prepare PKI.Generate a certificate signing request (CSR) to submit to your Certificate Authority (CA) using the steps outlined in Generate certificate signing requests and prepare them for use in your Azure Stack Hub environment using the steps in Prepare PKI certificates. O Azure Stack Hub suporta a rotação secreta de certificados externos a partir de uma nova Autoridade de Certificados (CA) nos seguintes contextos:Azure Stack Hub supports secret rotation for external certificates from a new Certificate Authority (CA) in the following contexts:

      Rotação a partir de CARotate from CA Rodar para CARotate to CA Suporte de versão Azure Stack HubAzure Stack Hub version support
      Self-SignedSelf-Signed EnterpriseEnterprise 1903 & depois1903 & later
      Self-SignedSelf-Signed Self-SignedSelf-Signed Não suportadoNot Supported
      Self-SignedSelf-Signed Público*Public* 1803 & depois1803 & later
      EnterpriseEnterprise EnterpriseEnterprise 1803 & depois; 1803-1903 se a MESMA empresa CA utilizada na implantação1803 & later; 1803-1903 if SAME enterprise CA as used at deployment
      EnterpriseEnterprise Self-SignedSelf-Signed Não suportadoNot Supported
      EnterpriseEnterprise Público*Public* 1803 & depois1803 & later
      Público*Public* EnterpriseEnterprise 1903 & depois1903 & later
      Público*Public* Self-SignedSelf-Signed Não suportadoNot Supported
      Público*Public* Público*Public* 1803 & depois1803 & later

      *Parte do Programa raiz fidedigno do Windows.*Part of the Windows Trusted Root Program.

    • Certifique-se de validar os certificados que prepara com os passos delineados em Certificados PKI ValidadosBe sure to validate the certificates you prepare with the steps outlined in Validate PKI Certificates

    • Certifique-se de que não existem caracteres especiais na palavra-passe, como * ou ) .Make sure there are no special characters in the password, like * or ).

    • Certifique-se de que a encriptação PFX é TripleDES-SHA1.Make sure the PFX encryption is TripleDES-SHA1. Se tiver um problema, consulte corrigir problemas comuns com certificados PKI Azure Stack Hub.If you run into an issue, see Fix common issues with Azure Stack Hub PKI certificates.

  3. Guarde uma cópia de segurança dos certificados utilizados para a rotação num local de reserva seguro.Store a backup to the certificates used for rotation in a secure backup location. Se a sua rotação correr e falhar, substitua os certificados na partilha de ficheiros pelas cópias de cópias de reserva antes de refazer a rotação.If your rotation runs and then fails, replace the certificates in the file share with the backup copies before you rerun the rotation. Guarde cópias de reserva no local de reserva seguro.Keep backup copies in the secure backup location.

  4. Crie um conjunto de ficheiros a partir dos VMs ERCS.Create a fileshare you can access from the ERCS VMs. A partilha de ficheiros deve ser legível e presibilizável para a identidade CloudAdmin.The file share must be readable and writable for the CloudAdmin identity.

  5. Abra uma consola PowerShell ISE a partir de um computador onde tenha acesso ao ficheiro.Open a PowerShell ISE console from a computer where you have access to the fileshare. Navegue para o seu conjunto de ficheiros, onde cria diretórios para colocar os seus certificados externos.Navigate to your fileshare, where you create directories to place your external certificates.

  6. Faça o downloadCertDirectoryMaker.ps1 para uma partilha de ficheiros de rede que pode ser acedida durante a rotação e executar o script.Download CertDirectoryMaker.ps1 to a network file share that can be accessed during rotation, and run the script. O script criará uma estrutura de pasta que adere a .\Certificates\AAD_ ou *.\Certificates\ADFS__, dependendo do seu fornecedor de identidade. A sua estrutura de pasta deve começar com uma pasta _ \ Certificados,* seguida apenas por uma pasta \ AAD ou \ ADFS.The script will create a folder structure that adheres to .\Certificates\AAD_ or _.\Certificates\ADFS_, depending on your identity provider. Your folder structure must begin with a _\Certificates folder, followed by ONLY an \AAD or \ADFS folder. Todas as subdiretivas adicionais estão contidas na estrutura anterior.All additional subdirectories are contained within the preceding structure. Por exemplo:For example:

    • Partilha de ficheiros = \\<IPAddress>\<ShareName>File share = \\<IPAddress>\<ShareName>
    • Pasta de raiz de certificado para fornecedor Azure AD = \ Certificados\AADCertificate root folder for Azure AD provider = \Certificates\AAD
    • Percurso completo = \ \ <IPAddress> \ <ShareName> \Certificados\AADFull path = \\<IPAddress>\<ShareName>\Certificates\AAD

    Importante

    Quando correr Start-SecretRotation mais tarde, validará a estrutura da pasta.When you run Start-SecretRotation later, it will validate the folder structure. Uma estrutura de pasta que não esteja em conformidade lançará o seguinte erro:A folder structure that is not compliant will throw the following error:

    Cannot bind argument to parameter 'Path' because it is null.
    + CategoryInfo          : InvalidData: (:) [Test-Certificate], ParameterBindingValidationException
    + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Test-Certificate
    + PSComputerName        : xxx.xxx.xxx.xxx
    
  7. Copie o novo conjunto de certificados externos de substituição criados em #2 passo, para o diretório \ <IdentityProvider> \Certificados criado em #6 passo.Copy the new set of replacement external certificates created in step #2, to the \Certificates\<IdentityProvider> directory created in step #6. Certifique-se de seguir o cert.<regionName>.<externalFQDN> formato para <CertName> .Be sure to follow the cert.<regionName>.<externalFQDN> format for <CertName>.

    Aqui está um exemplo de uma estrutura de pasta para o Fornecedor de Identidade AD Azure:Here's an example of a folder structure for the Azure AD Identity Provider:

        <ShareName>
            │
            └───Certificates
                  └───AAD
                      ├───ACSBlob
                      │       <CertName>.pfx
                      │
                      ├───ACSQueue
                      │       <CertName>.pfx
                      │
                      ├───ACSTable
                      │       <CertName>.pfx
                      │
                      ├───Admin Extension Host
                      │       <CertName>.pfx
                      │
                      ├───Admin Portal
                      │       <CertName>.pfx
                      │
                      ├───ARM Admin
                      │       <CertName>.pfx
                      │
                      ├───ARM Public
                      │       <CertName>.pfx
                      │
                      ├───KeyVault
                      │       <CertName>.pfx
                      │
                      ├───KeyVaultInternal
                      │       <CertName>.pfx
                      │
                      ├───Public Extension Host
                      │       <CertName>.pfx
                      │
                      └───Public Portal
                              <CertName>.pfx
    
    

RotaçãoRotation

Complete os seguintes passos para rodar segredos externos:Complete the following steps to rotate external secrets:

  1. Utilize o seguinte script PowerShell para rodar os segredos.Use the following PowerShell script to rotate the secrets. O script requer acesso a uma sessão de EndPoint Privilegiado (PEP).The script requires access to a Privileged EndPoint (PEP) session. O PEP é acedido através de uma sessão remota do PowerShell na máquina virtual (VM) que acolhe o PEP.The PEP is accessed through a remote PowerShell session on the virtual machine (VM) that hosts the PEP. Se estiver a utilizar um sistema integrado, existem três instâncias do PEP, cada uma a correr dentro de um VM (Prefix-ERCS01, Prefix-ERCS02 ou Prefix-ERCS03) em diferentes anfitriões.If you're using an integrated system, there are three instances of the PEP, each running inside a VM (Prefix-ERCS01, Prefix-ERCS02, or Prefix-ERCS03) on different hosts. Se estiver a usar o ASDK, este VM chama-se AzS-ERCS01.If you're using the ASDK, this VM is named AzS-ERCS01. Atualizar os <placeholder> valores antes de correr:Update the <placeholder> values before running:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    # Run Secret Rotation
    $CertPassword = ConvertTo-SecureString "<Cert_Password>" -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
    }
    Remove-PSSession -Session $PEPSession
    

    O script realiza os seguintes passos:The script performs the following steps:

    • Cria uma Sessão PowerShell com o ponto final privilegiado utilizando a conta CloudAdmin e armazena a sessão como uma variável.Creates a PowerShell Session with the Privileged endpoint using the CloudAdmin account, and stores the session as a variable. Esta variável é usada como parâmetro no passo seguinte.This variable is used as a parameter in the next step.

    • Executa o Invoke-Command,passando a variável de sessão PEP como -Session parâmetro.Runs Invoke-Command, passing the PEP session variable as the -Session parameter.

    • Funciona Start-SecretRotation na sessão PEP, utilizando os seguintes parâmetros:Runs Start-SecretRotation in the PEP session, using the following parameters:

      • -PfxFilesPath: O caminho da rede para o seu diretório de certificados criado anteriormente.-PfxFilesPath: The network path to your Certificates directory created earlier.
      • -PathAccessCredential: O objeto PSCredential para credenciais para a parte.-PathAccessCredential: The PSCredential object for credentials to the share.
      • -CertificatePassword: Uma sequência segura da palavra-passe utilizada para todos os ficheiros de certificado pfx criados.-CertificatePassword: A secure string of the password used for all of the pfx certificate files created.
  2. A rotação secreta externa leva aproximadamente uma hora.External secret rotation takes approximately one hour. Após a conclusão com sucesso, a sua consola apresentará uma ActionPlanInstanceID ... CurrentStatus: Completed mensagem, seguida de DONE .After successful completion, your console will display a ActionPlanInstanceID ... CurrentStatus: Completed message, followed by DONE. Retire os certificados da parte criada na secção Preparação e guarde-os na sua localização de reserva segura.Remove your certificates from the share created in the Preparation section and store them in their secure backup location.

    Nota

    Se a rotação secreta falhar, siga as instruções na mensagem de erro e reeca Start-SecretRotation com o -ReRun parâmetro.If secret rotation fails, follow the instructions in the error message and re-run Start-SecretRotation with the -ReRun parameter.

    Start-SecretRotation -ReRun
    

    Suporte de contato se tiver falhas de rotação secretas repetidas.Contact support if you experience repeated secret rotation failures.

Rode segredos internosRotate internal secrets

Os segredos internos incluem certificados, senhas, cordas seguras e chaves usadas pela infraestrutura Azure Stack Hub, sem intervenção do Azure Stack Hub Operator.Internal secrets include certificates, passwords, secure strings, and keys used by the Azure Stack Hub infrastructure, without intervention of the Azure Stack Hub Operator. A rotação secreta interna só é necessária se suspeitar que uma foi comprometida, ou se recebeu um alerta de expiração.Internal secret rotation is only required if you suspect one has been compromised, or you've received an expiration alert. Os segredos internos não caducarão a menos que o ambiente esteja ativo há dois anos.Internal secrets won't expire unless the environment has been active for two years.

As implementações anteriores a 1811 podem ver alertas para certificados internos pendentes ou expirações secretas.Pre-1811 deployments may see alerts for pending internal certificate or secret expirations. Estes alertas são imprecisos e devem ser ignorados, e são uma questão conhecida resolvida em 1811.These alerts are inaccurate and should be ignored, and are a known issue resolved in 1811.

Complete os seguintes passos para rodar segredos internos:Complete the following steps to rotate internal secrets:

  1. Executar o seguinte script PowerShell.Run the following PowerShell script. Aviso para a rotação secreta interna, a secção "Executar rotação secreta" utiliza apenas o -Internal parâmetro para o cmdlet Start-SecretRotation:Notice for internal secret rotation, the "Run Secret Rotation" section uses only the -Internal parameter to the Start-SecretRotation cmdlet:

    # Create a PEP Session
    winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
    $PEPCreds = Get-Credential
    $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    # Run Secret Rotation
    $CertPassword = ConvertTo-SecureString "<Cert_Password>" -AsPlainText -Force
    $CertShareCreds = Get-Credential
    $CertSharePath = "<Network_Path_Of_CertShare>"
    Invoke-Command -Session $PEPSession -ScriptBlock {
        Start-SecretRotation -Internal
    }
    Remove-PSSession -Session $PEPSession
    

    Nota

    As versões pré-1811 não requerem a -Internal bandeira.Pre-1811 versions don't require the -Internal flag.

  2. Após a conclusão com sucesso, a sua consola apresentará uma ActionPlanInstanceID ... CurrentStatus: Completed mensagem, seguida de DONE .After successful completion, your console will display a ActionPlanInstanceID ... CurrentStatus: Completed message, followed by DONE.

    Nota

    Se a rotação secreta falhar, siga as instruções na mensagem de erro e Start-SecretRotation reexecute com os -Internal -ReRun parâmetros e parâmetros.If secret rotation fails, follow the instructions in the error message and rerun Start-SecretRotation with the -Internal and -ReRun parameters.

    Start-SecretRotation -Internal -ReRun
    

    Suporte de contato se tiver falhas de rotação secretas repetidas.Contact support if you experience repeated secret rotation failures.

Atualizar a credencial BMCUpdate the BMC credential

O controlador de gestão do rodapé monitoriza o estado físico dos seus servidores.The baseboard management controller monitors the physical state of your servers. Consulte o seu fornecedor de hardware original do fabricante de equipamentos (OEM) para obter instruções para atualizar o nome da conta de utilizador e a palavra-passe do BMC.Refer to your original equipment manufacturer (OEM) hardware vendor for instructions to update the user account name and password of the BMC.

Nota

O seu OEM pode fornecer aplicações de gestão adicionais.Your OEM may provide additional management apps. A atualização do nome de utilizador ou palavra-passe para outras aplicações de gestão não tem qualquer efeito no nome de utilizador ou palavra-passe do BMC.Updating the user name or password for other management apps has no effect on the BMC user name or password.

  1. Atualize o BMC nos servidores físicos do Azure Stack Hub seguindo as instruções do OEM.Update the BMC on the Azure Stack Hub physical servers by following your OEM instructions. O nome de utilizador e a palavra-passe de cada BMC no seu ambiente devem ser os mesmos.The user name and password for each BMC in your environment must be the same. Os nomes de utilizador BMC não podem exceder 16 caracteres.The BMC user names can't exceed 16 characters.
  1. Já não é necessário atualizar as credenciais do BMC nos servidores físicos do Azure Stack Hub seguindo as instruções do OEM.It's no longer required that you first update the BMC credentials on the Azure Stack Hub physical servers by following your OEM instructions. O nome de utilizador e a palavra-passe de cada BMC no seu ambiente devem ser os mesmos e não podem exceder 16 caracteres.The user name and password for each BMC in your environment must be the same, and can't exceed 16 characters.
  1. Abra um ponto final privilegiado nas sessões do Azure Stack Hub.Open a privileged endpoint in Azure Stack Hub sessions. Para obter instruções, consulte utilizando o ponto final privilegiado no Azure Stack Hub.For instructions, see Using the privileged endpoint in Azure Stack Hub.

  2. Depois de abrir uma sessão de ponto final privilegiada, execute um dos scripts PowerShell abaixo, que usam Invoke-Command para executar Set-BmcCredential.After opening a privileged endpoint session, run one of the PowerShell scripts below, which use Invoke-Command to run Set-BmcCredential. Se utilizar o parâmetro opcional -BypassBMCUpdate com Set-BMCCredential, as credenciais no BMC não são atualizadas.If you use the optional -BypassBMCUpdate parameter with Set-BMCCredential, credentials in the BMC aren't updated. Apenas a loja de dados interna Azure Stack Hub é atualizada. Passe a sua variável de sessão de ponto final privilegiada como parâmetro.Only the Azure Stack Hub internal datastore is updated.Pass your privileged endpoint session variable as a parameter.

    Aqui está um exemplo de script PowerShell que irá solicitar o nome de utilizador e senha:Here's an example PowerShell script that will prompt for user name and password:

    # Interactive Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials"
    $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString
    $NewBmcUser = Read-Host -Prompt "Enter New BMC user name"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

    Também pode codificar o nome de utilizador e a palavra-passe em variáveis, que podem ser menos seguras:You can also encode the user name and password in variables, which may be less secure:

    # Static Version
    $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here.
    $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>"
    $PEPPwd = ConvertTo-SecureString "<Privileged Endpoint Password>" -AsPlainText -Force
    $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd)
    $NewBmcPwd = ConvertTo-SecureString "<New BMC Password>" -AsPlainText -Force
    $NewBmcUser = "<New BMC User name>"
    
    $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"
    
    Invoke-Command -Session $PEPSession -ScriptBlock {
        # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional.
        Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser
    }
    Remove-PSSession -Session $PEPSession
    

Referência: Start-SecretRotation cmdletReference: Start-SecretRotation cmdlet

Start-SecretRotation cmdlet gira os segredos de infraestrutura de um sistema Azure Stack Hub.Start-SecretRotation cmdlet rotates the infrastructure secrets of an Azure Stack Hub system. Este cmdlet só pode ser executado contra o ponto final privilegiado do Azure Stack Hub, utilizando um Invoke-Command bloco de script que passa a sessão PEP no -Session parâmetro.This cmdlet can only be executed against the Azure Stack Hub privileged endpoint, by using an Invoke-Command script block passing the PEP session in the -Session parameter. Por predefinição, gira apenas os certificados de todos os pontos finais de infraestrutura de rede externa.By default, it rotates only the certificates of all external network infrastructure endpoints.

ParâmetroParameter TipoType NecessárioRequired PosiçãoPosition PredefiniçãoDefault DescriptionDescription
PfxFilesPath StringString FalsoFalse NomeadoNamed NenhumNone O caminho de partilha de ficheiros para o diretório \Certificados contendo todos os certificados de ponto final de rede externa.The fileshare path to the \Certificates directory containing all external network endpoint certificates. Só é necessário para rodar segredos externos.Only required when rotating external secrets. O diretório final deve ser \Certificados.End directory must be \Certificates.
CertificatePassword SecureStringSecureString FalsoFalse NomeadoNamed NenhumNone A palavra-passe para todos os certificados fornecidos no -PfXFilesPath.The password for all certificates provided in the -PfXFilesPath. Valor necessário se o PfxFilesPath for fornecido quando os segredos externos são rotativos.Required value if PfxFilesPath is provided when external secrets are rotated.
Internal StringString FalsoFalse NomeadoNamed NenhumNone A bandeira interna deve ser utilizada sempre que um operador do Azure Stack Hub pretenda rodar segredos de infraestrutura interna.Internal flag must be used anytime an Azure Stack Hub operator wishes to rotate internal infrastructure secrets.
PathAccessCredential PSCredentialPSCredential FalsoFalse NomeadoNamed NenhumNone A credencial PowerShell para a partilha de ficheiros do diretório \Certificados contendo todos os certificados de ponto final de rede externa.The PowerShell credential for the fileshare of the \Certificates directory containing all external network endpoint certificates. Só é necessário para rodar segredos externos.Only required when rotating external secrets.
ReRun ParâmetroOpcionalSwitchParameter FalsoFalse NomeadoNamed NenhumNone Deve ser usado sempre que a rotação secreta for re-atada após uma tentativa falhada.Must be used anytime secret rotation is reattempted after a failed attempt.

SyntaxSyntax

Para rotação secreta externaFor external secret rotation

Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]  

Para rotação secreta internaFor internal secret rotation

Start-SecretRotation [-Internal]  

Para a repetição da rotação secreta externaFor external secret rotation rerun

Start-SecretRotation [-ReRun]

Para a repetição da rotação secreta internaFor internal secret rotation rerun

Start-SecretRotation [-ReRun] [-Internal]

ExemplosExamples

Rode apenas segredos de infraestrutura internaRotate only internal infrastructure secrets

Este comando deve ser executado através do ponto final privilegiado doseu ambiente Azure Stack Hub .This command must be run via your Azure Stack Hub environment's privileged endpoint.

PS C:\> Start-SecretRotation -Internal

Este comando gira todos os segredos de infraestrutura expostos à rede interna Azure Stack Hub.This command rotates all of the infrastructure secrets exposed to the Azure Stack Hub internal network.

Rode apenas segredos de infraestrutura externaRotate only external infrastructure secrets

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString "<CertPasswordHere>" -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {  
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Este comando gira os certificados TLS utilizados para os pontos finais de infraestrutura externa da Azure Stack Hub.This command rotates the TLS certificates used for Azure Stack Hub's external network infrastructure endpoints.

Rode segredos de infraestrutura interna e externa (apenas antes de 1811)Rotate internal and external infrastructure secrets (pre-1811 only)

Importante

Este comando aplica-se apenas ao Azure Stack Hub antes de 1811, uma vez que a rotação foi dividida para certificados internos e externos.This command only applies to Azure Stack Hub pre-1811 as the rotation has been split for internal and external certificates.

A partir de 1811 já não pode rodar certificados internos e externos!From 1811+ you can't rotate both internal and external certificates anymore!

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString "<CertPasswordHere>" -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
    Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession

Este comando gira os segredos de infraestrutura expostos à rede interna do Azure Stack Hub, e os certificados TLS utilizados para os pontos finais de infraestrutura externa da Azure Stack Hub.This command rotates the infrastructure secrets exposed to Azure Stack Hub internal network, and the TLS certificates used for Azure Stack Hub's external network infrastructure endpoints. Start-SecretRotation gira todos os segredos gerados pela pilha, e como existem certificados fornecidos, os certificados de ponto final externos também serão rotativos.Start-SecretRotation rotates all stack-generated secrets, and because there are provided certificates, external endpoint certificates will also be rotated.

Passos seguintesNext steps

Saiba mais sobre a segurança do Azure Stack HubLearn more about Azure Stack Hub security