Compartir a través de


Rotación de certificados

Se aplica a: SQL Server

En SQL Server habilitado por Azure Arc, la extensión de Azure para SQL Server puede rotar automáticamente los certificados de Microsoft Entra ID para los certificados administrados por el servicio. En el caso de los certificados administrados por el cliente, puede seguir los pasos para rotar el certificado usado para Microsoft Entra ID.

Nota:

Microsoft Entra ID era conocido anteriormente como Azure Active Directory (Azure AD).

En este artículo se explica cómo funciona la rotación automática de certificados y la rotación de certificados administrados por el cliente e identifica los detalles del proceso para los sistemas operativos Windows y Linux.

Puede habilitar cualquiera de las siguientes opciones:

Azure Key Vault rota automáticamente el certificado por usted. El almacén de claves rota los certificados de forma predeterminada, una vez que el período de vida del certificado llega al 80 %. Puede configurar este valor. Para obtener instrucciones, consulte Configuración de la rotación automática de certificados en Key Vault. Si el certificado ha expirado, se produce un error en la rotación automática.

Requisito previo

La funcionalidad descrita en este artículo se aplica a una instancia de SQL Server habilitada por Azure Arc configurada para la autenticación con Microsoft Entra ID. Para ver instrucciones sobre cómo configurar una instancia, consulte:

Rotación de certificados administrados por el servicio

Con la rotación de certificados administrados por el servicio, la extensión de Azure para SQL Server rota los certificados.

Para permitir que el servicio administre el certificado, agregue una directiva de acceso para la entidad de servicio con permiso para firmar claves. Consulte Asignación de una directiva de acceso de Key Vault (heredado). La asignación de directiva de acceso debe hacer referencia explícitamente a la entidad de servicio del servidor de Arc.

Importante

Para habilitar la rotación de certificados administrados por el servicio, debe asignar el permiso de clave Sign a la identidad administrada de Arc Server. Si no se asigna este permiso, la rotación de certificados administrados por el servicio no está habilitada.

Para obtener instrucciones, consulte Creación y asignación de un certificado.

Nota:

No se requieren permisos específicos para que una aplicación implemente sus propias claves. Consulte Aplicación: addKey.

Una vez que se detecta un nuevo certificado, se carga de manera automática en el registro de aplicaciones.

Nota:

En el caso de Linux, el certificado antiguo no se eliminará del registro de la aplicación que se usa para Microsoft Entra ID y el servidor SQL Server que se ejecuta en la máquina Linux deberá reiniciarse de forma manual.

Rotación de certificados administrados por el cliente

Para la rotación de certificados administrados por el cliente:

  1. Cree una nueva versión del certificado en Azure Key Vault.

    En Azure Key Vault, puede establecer cualquier porcentaje para el período del certificado.

    Al configurar un certificado con Azure Key Vault, se definen sus atributos de ciclo de vida. Por ejemplo:

    • Período de validez: cuando expira el certificado.
    • Tipo de acción de período de vida: lo que sucede cuando se aproxima la expiración, incluida la renovación automática y las alertas.

    Para obtener más información sobre las opciones de configuración de certificados, consulte Actualización de los atributos del ciclo de vida del certificado en el momento de la creación.

  2. Descargue el nuevo certificado en el formato .cer y cárguelo en el registro de la aplicación en lugar del certificado anterior.

Nota:

En el caso de Linux, debe reiniciar manualmente el servicio SQL Server para que el nuevo certificado se use para la autenticación.

Una vez creado un nuevo certificado en Azure Key Vault, la extensión de Azure para SQL Server comprueba si hay un certificado nuevo de manera diaria. Si el nuevo certificado está disponible, la extensión instala el nuevo certificado en el servidor y elimina el certificado anterior.

Una vez instalado el nuevo certificado, puede eliminar certificados anteriores del registro de aplicaciones porque no se usarán.

La nueva versión del certificado puede tardar hasta 24 horas en implementarse. El tiempo recomendado para eliminar el certificado antiguo del registro de aplicaciones es 24 horas posterior a partir del momento en que se crea la nueva versión del certificado.

Si se crea e instala la nueva versión del certificado en el servidor, pero no se carga en el registro de aplicaciones, el portal muestra un mensaje de error en el recurso SQL Server - Azure Arc en Microsoft Entra ID.

Pasos siguientes