Ruotare i segreti nell'hub di Azure Stack
Questo articolo fornisce indicazioni per l'esecuzione della rotazione dei segreti per mantenere la comunicazione sicura con le risorse e i servizi dell'infrastruttura dell'hub di Azure Stack.
Panoramica
L'hub di Azure Stack usa i segreti per mantenere la sicurezza delle comunicazioni con le risorse e i servizi dell'infrastruttura. Per mantenere l'integrità dell'infrastruttura dell'hub di Azure Stack, gli operatori devono poter ruotare i segreti con frequenze coerenti con i requisiti di sicurezza dell'organizzazione.
Quando i segreti si avvicinano alla scadenza, vengono generati gli avvisi seguenti nel portale di amministrazione. Completando la rotazione dei segreti sarà possibile risolvere gli avvisi:
- Scadenza della password dell'account del servizio in sospeso
- In attesa di scadenza del certificato interno
- In attesa di scadenza del certificato esterno
Avviso
Esistono due fasi di avvisi attivati nel portale di amministrazione prima della scadenza:
- 90 giorni prima della scadenza viene generato un avviso di avviso.
- 30 giorni prima della scadenza viene generato un avviso critico.
È fondamentale completare la rotazione dei segreti se si ricevono queste notifiche. L'errore può causare la perdita di carichi di lavoro e la possibile ridistribuzione dell'hub di Azure Stack a spese proprie.
Per altre informazioni sul monitoraggio e la correzione degli avvisi, vedere Monitorare l'integrità e gli avvisi nell'hub di Azure Stack.
Nota
Gli ambienti dell'hub di Azure Stack nelle versioni precedenti alla versione 1811 possono visualizzare avvisi per le scadenze dei certificati interni o dei segreti in sospeso. Questi avvisi non sono accurati e devono essere ignorati senza eseguire la rotazione interna dei segreti. Gli avvisi di scadenza dei segreti interni non accurati sono un problema noto risolto nel 1811. I segreti interni non scadono a meno che l'ambiente non sia stato attivo per due anni.
Prerequisiti
È consigliabile eseguire una versione supportata dell'hub di Azure Stack e applicare l'hotfix più recente disponibile per la versione dell'hub di Azure Stack in esecuzione. Ad esempio, se si esegue la versione 2008, assicurarsi di aver installato l'hotfix più recente disponibile per la versione 2008.
Importante
Per le versioni precedenti alla versione 1811:
- Se la rotazione dei segreti è già stata eseguita, è necessario eseguire l'aggiornamento alla versione 1811 o successiva prima di eseguire di nuovo la rotazione dei segreti. La rotazione dei segreti deve essere eseguita tramite l'endpoint con privilegi e richiede le credenziali dell'operatore dell'hub di Azure Stack. Se non si sa se la rotazione dei segreti è stata eseguita nell'ambiente, eseguire l'aggiornamento alla versione 1811 prima di eseguire la rotazione dei segreti.
- Non è necessario ruotare i segreti per aggiungere certificati host di estensione. Seguire le istruzioni nell'articolo Preparare l'host dell'estensione per l'hub di Azure Stack per aggiungere i certificati host dell'estensione.
Notificare agli utenti le operazioni di manutenzione pianificata. Pianificare le normali finestre di manutenzione, il più possibile, durante gli orari non lavorativi. Le operazioni di manutenzione possono influire sia sui carichi di lavoro degli utenti che sulle operazioni del portale.
Generare richieste di firma del certificato per l'hub di Azure Stack.
Preparare i certificati PKI dell'hub di Azure Stack.
Durante la rotazione dei segreti, gli operatori possono notare l'apertura e la chiusura automatica degli avvisi. Questo comportamento è previsto ed è possibile ignorare gli avvisi. Gli operatori possono verificare la validità di questi avvisi usando il cmdlet Di PowerShell Test-AzureStack. Per gli operatori, l'uso di System Center Operations Manager per monitorare i sistemi dell'hub di Azure Stack, l'inserimento di un sistema in modalità di manutenzione impedirà a questi avvisi di raggiungere i sistemi ITSM. Tuttavia, gli avvisi continueranno a venire se il sistema dell'hub di Azure Stack non sarà raggiungibile.
Ruotare i segreti esterni
Importante
Rotazione dei segreti esterni per:
- I segreti non certificati, ad esempio chiavi sicure e stringhe , devono essere eseguiti manualmente dall'amministratore. Sono incluse le password dell'account utente e dell'amministratore e le password del commutatore di rete.
- I segreti del provider di risorse con aggiunta di valore sono trattati in indicazioni separate:
- Le credenziali BMC (Baseboard Management Controller) sono un processo manuale, descritto più avanti in questo articolo.
- Registro Azure Container certificati esterni è un processo manuale, descritto più avanti in questo articolo.
Questa sezione illustra la rotazione dei certificati usati per proteggere i servizi esterni. Questi certificati vengono forniti dall'operatore dell'hub di Azure Stack per i servizi seguenti:
- Portale di amministrazione
- Portale pubblico
- Amministratore di Azure Resource Manager
- Azure Resource Manager globale
- Amministratore di Key Vault
- Insieme di credenziali delle chiavi di
- Host estensione amministrazione
- ACS (tra cui archiviazione code, BLOB e tabelle)
- ADFS1
- Grafico1
- Registro Container2
1Applicabile quando si usa Active Directory Federated Services (ADFS).
2Applicabile quando si usa Registro Azure Container (ACR).
Preparazione
Prima della rotazione dei segreti esterni:
Eseguire il
Test-AzureStack
cmdlet di PowerShell usando il-group SecretRotationReadiness
parametro per verificare che tutti gli output di test siano integri prima di ruotare i segreti.Preparare un nuovo set di certificati esterni sostitutivi:
Il nuovo set deve corrispondere alle specifiche del certificato descritte nei requisiti del certificato PKI dell'hub di Azure Stack.
Generare una richiesta di firma del certificato da inviare all'autorità di certificazione (CA). Usare la procedura descritta in Generare richieste di firma del certificato e prepararle per l'uso nell'ambiente dell'hub di Azure Stack seguendo la procedura descritta in Preparare i certificati PKI. L'hub di Azure Stack supporta la rotazione dei segreti per i certificati esterni da una nuova autorità di certificazione (CA) nei contesti seguenti:
Ruotare dalla CA Ruota su CA Supporto della versione dell'hub di Azure Stack Autofirmato Enterprise 1903 e versioni successive Autofirmato Autofirmato Non supportato Autofirmato Pubblico* 1803 e versioni successive Enterprise Enterprise 1803 e versioni successive; 1803-1903 se LA STESSA CA aziendale usata durante la distribuzione Enterprise Autofirmato Non supportato Enterprise Pubblico* 1803 e versioni successive Pubblico* Enterprise 1903 e versioni successive Pubblico* Autofirmato Non supportato Pubblico* Pubblico* 1803 e versioni successive *Parte del programma radice attendibile di Windows.
Assicurarsi di convalidare i certificati preparati con i passaggi descritti in Convalida certificati PKI
Assicurarsi che nella password non siano presenti caratteri speciali, ad esempio
$
, ,*
#
,,@
)or
'.Assicurarsi che la crittografia PFX sia TripleDES-SHA1. Se si verifica un problema, vedere Risolvere i problemi comuni relativi ai certificati PKI dell'hub di Azure Stack.
Archiviare un backup dei certificati usati per la rotazione in una posizione di backup sicura. Se la rotazione viene eseguita e quindi ha esito negativo, sostituire i certificati nella condivisione file con le copie di backup prima di eseguire nuovamente la rotazione. Conservare le copie di backup nella posizione di backup sicura.
Creare una condivisione file a cui è possibile accedere dalle macchine virtuali ERCS. La condivisione file deve essere leggibile e scrivibile per l'identità CloudAdmin .
Aprire una console di PowerShell ISE da un computer in cui si ha accesso alla condivisione file. Passare alla condivisione file, dove verranno create le directory in cui inserire i certificati esterni.
Creare una cartella nella condivisione file denominata
Certificates
. All'interno della cartella certificates creare una sottocartella denominataAAD
oADFS
, a seconda del provider di identità usato dall'hub. Ad esempio, .\Certificates\AAD o .\Certificates\ADFS. Non devono essere create altre cartelle oltre alla cartella certificates e alla sottocartella del provider di identità.Copiare il nuovo set di certificati esterni sostitutivi creati nel passaggio 2 nella cartella .\Certificates\<IdentityProvider> creata nel passaggio 6. Come indicato in precedenza, la sottocartella del provider di identità deve essere
AAD
oADFS
. Assicurarsi che i nomi alternativi dei soggetti dei certificati esterni sostitutivi seguano ilcert.<regionName>.<externalFQDN>
formato specificato nei requisiti del certificato PKI (Public Key Infrastructure) dell'hub di Azure Stack.Ecco un esempio di struttura di cartelle per il provider di identità Microsoft Entra:
<ShareName> │ └───Certificates └───AAD ├───ACSBlob │ <CertName>.pfx │ ├───ACSQueue │ <CertName>.pfx │ ├───ACSTable │ <CertName>.pfx │ ├───Admin Extension Host │ <CertName>.pfx │ ├───Admin Portal │ <CertName>.pfx │ ├───ARM Admin │ <CertName>.pfx │ ├───ARM Public │ <CertName>.pfx │ ├───Container Registry* │ <CertName>.pfx │ ├───KeyVault │ <CertName>.pfx │ ├───KeyVaultInternal │ <CertName>.pfx │ ├───Public Extension Host │ <CertName>.pfx │ └───Public Portal <CertName>.pfx
*Applicabile quando si usa Registro Azure Container (ACR) per Microsoft Entra ID e ADFS.
Nota
Se si ruotano i certificati del Registro Container esterni, è necessario creare manualmente una Container Registry
sottocartella nella sottocartella del provider di identità. Inoltre, è necessario archiviare il certificato pfx corrispondente all'interno di questa sottocartella creata manualmente.
Rotazione
Completare i passaggi seguenti per ruotare i segreti esterni:
Usare lo script di PowerShell seguente per ruotare i segreti. Lo script richiede l'accesso a una sessione PEP (Privileged EndPoint). L'accesso PEP viene eseguito tramite una sessione remota di PowerShell nella macchina virtuale (VM) che ospita il PEP. Se si usa un sistema integrato, sono disponibili tre istanze di PEP, ognuna in esecuzione all'interno di una macchina virtuale (Prefix-ERCS01, Prefix-ERCS02 o Prefix-ERCS03) in host diversi. Lo script esegue le operazioni seguenti:
Crea una sessione di PowerShell con l'endpoint con privilegi usando l'account CloudAdmin e archivia la sessione come variabile. Questa variabile viene dichiarata come parametro nel passaggio successivo.
Esegue Invoke-Command, passando la variabile di sessione PEP come
-Session
parametro.Viene eseguito
Start-SecretRotation
nella sessione PEP usando i parametri seguenti. Per altre informazioni, vedere le informazioni di riferimento su Start-SecretRotation :Parametro Variabile Descrizione -PfxFilesPath
$CertSharePath Percorso di rete della cartella radice dei certificati come descritto nel passaggio 6 della sezione Preparazione, ad esempio \\<IPAddress>\<ShareName>\Certificates
.-PathAccessCredential
$CertShareCreds Oggetto PSCredential per le credenziali della condivisione. -CertificatePassword
$CertPassword Stringa sicura della password usata per tutti i file di certificato pfx creati.
# Create a PEP session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run secret rotation $CertPassword = ConvertTo-SecureString '<Cert_Password>' -AsPlainText -Force $CertShareCreds = Get-Credential $CertSharePath = "<Network_Path_Of_CertShare>" Invoke-Command -Session $PEPsession -ScriptBlock { param($CertSharePath, $CertPassword, $CertShareCreds ) Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword } -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds) Remove-PSSession -Session $PEPSession
La rotazione dei segreti esterni richiede circa un'ora. Al termine dell'operazione, nella console verrà visualizzato un
ActionPlanInstanceID ... CurrentStatus: Completed
messaggio, seguito daAction plan finished with status: 'Completed'
. Rimuovere i certificati dalla condivisione creata nella sezione di preparazione e archiviarli nel percorso di backup sicuro.Nota
Se la rotazione dei segreti non riesce, seguire le istruzioni nel messaggio di errore ed eseguire
Start-SecretRotation
di nuovo con il-ReRun
parametro .Start-SecretRotation -ReRun
Contattare il supporto tecnico se si verificano errori ripetuti di rotazione dei segreti.
Facoltativamente, per verificare che tutti i certificati esterni siano stati ruotati, eseguire lo strumento di convalida Test-AzureStack usando lo script seguente:
Test-AzureStack -Include AzsExternalCertificates -DetailedResults -debug
Ruotare i segreti interni
I segreti interni includono certificati, password, stringhe protette e chiavi usate dall'infrastruttura dell'hub di Azure Stack, senza l'intervento dell'operatore dell'hub di Azure Stack. La rotazione dei segreti interni è necessaria solo se si sospetta che ne sia stato compromesso uno o se è stato ricevuto un avviso di scadenza.
Le distribuzioni pre-1811 possono visualizzare avvisi per le scadenze dei certificati interni o dei segreti in sospeso. Questi avvisi non sono accurati e devono essere ignorati e sono un problema noto risolto nel 1811.
Completare i passaggi seguenti per ruotare i segreti interni:
Eseguire lo script PowerShell seguente. Si noti che per la rotazione interna dei segreti, la sezione "Run Secret Rotation" usa solo il
-Internal
parametro per il cmdlet Start-SecretRotation:# Create a PEP Session winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}' $PEPCreds = Get-Credential $PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS_Machine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) # Run Secret Rotation Invoke-Command -Session $PEPSession -ScriptBlock { Start-SecretRotation -Internal } Remove-PSSession -Session $PEPSession
Nota
Le versioni precedenti alla versione 1811 non richiedono il
-Internal
flag .Al termine dell'operazione, nella console verrà visualizzato un
ActionPlanInstanceID ... CurrentStatus: Completed
messaggio, seguito daAction plan finished with status: 'Completed'
.Nota
Se la rotazione dei segreti ha esito negativo, seguire le istruzioni nel messaggio di errore ed eseguire di nuovo
Start-SecretRotation
con i parametri-Internal
e-ReRun
.Start-SecretRotation -Internal -ReRun
Contattare il supporto tecnico se si verificano errori ripetuti di rotazione dei segreti.
Ruotare il certificato radice dell'hub di Azure Stack
Il provisioning del certificato radice dell'hub di Azure Stack viene effettuato durante la distribuzione con scadenza di cinque anni. A partire dalla versione 2108, la rotazione interna dei segreti ruota anche il certificato radice. L'avviso di scadenza del segreto standard identifica la scadenza del certificato radice e genera avvisi sia a 90 (avviso) che a 30 giorni (critici).
Per ruotare il certificato radice, è necessario aggiornare il sistema a 2108 ed eseguire la rotazione interna dei segreti.
Il frammento di codice seguente usa l'endpoint con privilegi per elencare la data di scadenza del certificato radice:
$pep = New-PSSession -ComputerName <ip address> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
$stampInfo = Invoke-Command -Session $pep -ScriptBlock { Get-AzureStackStampInformation }
$rootCert = $stampInfo.RootCACertificates| Sort-Object -Property NotAfter | Select-Object -Last 1
"The Azure Stack Hub Root Certificate expires on {0}" -f $rootCert.NotAfter.ToString("D") | Write-Host -ForegroundColor Cyan
Aggiornare le credenziali BMC
Il controller di gestione della lavagna di base monitora lo stato fisico dei server. Per istruzioni su come aggiornare il nome dell'account utente e la password del BMC, vedere il fornitore hardware oem (Original Equipment Manufacturer).
Nota
L'OEM può fornire app di gestione aggiuntive. L'aggiornamento del nome utente o della password per altre app di gestione non ha alcun effetto sul nome utente o sulla password BMC.
- Aggiornare BMC nei server fisici dell'hub di Azure Stack seguendo le istruzioni oem. Il nome utente e la password per ogni BMC nell'ambiente devono essere uguali. I nomi utente BMC non possono superare i 16 caratteri.
- Non è più necessario aggiornare prima le credenziali BMC nei server fisici dell'hub di Azure Stack seguendo le istruzioni OEM. Il nome utente e la password per ogni BMC nell'ambiente devono essere uguali e non possono superare i 16 caratteri.
Aprire un endpoint con privilegi nelle sessioni dell'hub di Azure Stack. Per istruzioni, vedere Uso dell'endpoint con privilegi nell'hub di Azure Stack.
Dopo aver aperto una sessione di endpoint con privilegi, eseguire uno degli script di PowerShell seguenti, che usano Invoke-Command per eseguire Set-BmcCredential. Se si usa il parametro facoltativo -BypassBMCUpdate con Set-BMCCredential, le credenziali nel BMC non vengono aggiornate. Viene aggiornato solo l'archivio dati interno dell'hub di Azure Stack. Passare la variabile di sessione dell'endpoint con privilegi come parametro.
Di seguito è riportato un esempio di script di PowerShell che richiederà il nome utente e la password:
# Interactive Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPCreds = Get-Credential "<Domain>\CloudAdmin" -Message "PEP Credentials" $NewBmcPwd = Read-Host -Prompt "Enter New BMC password" -AsSecureString $NewBmcUser = Read-Host -Prompt "Enter New BMC user name" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
È anche possibile codificare il nome utente e la password nelle variabili, che possono essere meno sicure:
# Static Version $PEPIp = "<Privileged Endpoint IP or Name>" # You can also use the machine name instead of IP here. $PEPUser = "<Privileged Endpoint user for example Domain\CloudAdmin>" $PEPPwd = ConvertTo-SecureString '<Privileged Endpoint Password>' -AsPlainText -Force $PEPCreds = New-Object System.Management.Automation.PSCredential ($PEPUser, $PEPPwd) $NewBmcPwd = ConvertTo-SecureString '<New BMC Password>' -AsPlainText -Force $NewBmcUser = "<New BMC User name>" $PEPSession = New-PSSession -ComputerName $PEPIp -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US) Invoke-Command -Session $PEPSession -ScriptBlock { # Parameter BmcPassword is mandatory, while the BmcUser parameter is optional. Set-BmcCredential -BmcPassword $using:NewBmcPwd -BmcUser $using:NewBmcUser } Remove-PSSession -Session $PEPSession
Riferimento: cmdlet Start-SecretRotation
Il cmdlet Start-SecretRotation ruota i segreti dell'infrastruttura di un sistema hub di Azure Stack. Questo cmdlet può essere eseguito solo sull'endpoint con privilegi dell'hub di Azure Stack usando un Invoke-Command
blocco di script che passa la sessione PEP nel -Session
parametro . Per impostazione predefinita, ruota solo i certificati di tutti gli endpoint dell'infrastruttura di rete esterna.
Parametro | Type | Obbligatorio | Posizione | Default | Descrizione |
---|---|---|---|---|---|
PfxFilesPath |
Stringa | Falso | denominata | None | Percorso di condivisione file della cartella radice \Certificates contenente tutti i certificati dell'endpoint di rete esterno. Obbligatorio solo quando si ruotano segreti esterni. Il percorso deve terminare con la cartella \Certificates , ad esempio \\<IPAddress>\<ShareName>\Certificates. |
CertificatePassword |
SecureString | Falso | denominata | None | Password per tutti i certificati forniti in -PfXFilesPath. Valore obbligatorio se PfxFilesPath viene fornito quando i segreti esterni vengono ruotati. |
Internal |
String | Falso | denominata | None | Il flag interno deve essere usato ogni volta che un operatore dell'hub di Azure Stack vuole ruotare i segreti dell'infrastruttura interna. |
PathAccessCredential |
PSCredential | Falso | denominata | None | Credenziali di PowerShell per la condivisione file della directory \Certificates contenente tutti i certificati degli endpoint di rete esterni. Obbligatorio solo quando si ruotano segreti esterni. |
ReRun |
SwitchParameter | Falso | denominata | None | Deve essere utilizzato ogni volta che la rotazione dei segreti viene annullata dopo un tentativo non riuscito. |
Sintassi
Per la rotazione dei segreti esterni
Start-SecretRotation [-PfxFilesPath <string>] [-PathAccessCredential <PSCredential>] [-CertificatePassword <SecureString>]
Per la rotazione interna dei segreti
Start-SecretRotation [-Internal]
Per rieseguire la rotazione dei segreti esterni
Start-SecretRotation [-ReRun]
Per rieseguire la rotazione interna dei segreti
Start-SecretRotation [-ReRun] [-Internal]
Esempi
Ruotare solo i segreti dell'infrastruttura interna
Questo comando deve essere eseguito tramite l'endpoint con privilegi dell'ambiente hub di Azure Stack.
PS C:\> Start-SecretRotation -Internal
Questo comando ruota tutti i segreti dell'infrastruttura esposti alla rete interna dell'hub di Azure Stack.
Ruotare solo i segreti dell'infrastruttura esterna
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPsession -ScriptBlock {
param($CertSharePath, $CertPassword, $CertShareCreds )
Start-SecretRotation -PfxFilesPath $CertSharePath -PathAccessCredential $CertShareCreds -CertificatePassword $CertPassword
} -ArgumentList ($CertSharePath, $CertPassword, $CertShareCreds)
Remove-PSSession -Session $PEPSession
Questo comando ruota i certificati TLS usati per gli endpoint dell'infrastruttura di rete esterna dell'hub di Azure Stack.
Ruotare i segreti dell'infrastruttura interna ed esterna (solo pre-1811 )
Importante
Questo comando si applica solo all'hub di Azure Stack pre-1811 perché la rotazione è stata divisa per i certificati interni ed esterni.
Da 1811+ non è più possibile ruotare certificati interni ed esterni.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IP_address_of_ERCS>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IP_address_of_ERCS> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Create Credentials for the fileshare
$CertPassword = ConvertTo-SecureString '<CertPasswordHere>' -AsPlainText -Force
$CertShareCreds = Get-Credential
$CertSharePath = "<NetworkPathOfCertShare>"
# Run Secret Rotation
Invoke-Command -Session $PEPSession -ScriptBlock {
Start-SecretRotation -PfxFilesPath $using:CertSharePath -PathAccessCredential $using:CertShareCreds -CertificatePassword $using:CertPassword
}
Remove-PSSession -Session $PEPSession
Questo comando ruota i segreti dell'infrastruttura esposti alla rete interna dell'hub di Azure Stack e i certificati TLS usati per gli endpoint dell'infrastruttura di rete esterna dell'hub di Azure Stack. Start-SecretRotation ruota tutti i segreti generati da stack e, poiché sono disponibili certificati, verranno ruotati anche i certificati endpoint esterni.