Partager via


Effectuer une rotation des certificats

S'applique à : SQL Server

Sur un serveur SQL Server activé par Azure Arc, l'extension Azure pour SQL Server peut organiser une rotation automatique des certificats pour les certificats gérés par Microsoft Entra ID pour le service. Pour les certificats gérés par le client, vous pouvez suivre les étapes de rotation du certificat utilisé pour Microsoft Entra ID.

Remarque

Microsoft Entra ID était précédemment connu sous le nom d'Azure Active Directory (Azure AD).

Cet article explique comment fonctionnent la rotation automatique des certificats et la rotation des certificats gérés par le client et identifie les spécificités du processus pour les systèmes d'exploitation Windows et Linux.

Vous pouvez activer l’une ou l’autre des options suivantes :

Azure Key Vault effectue automatiquement la rotation du certificat pour vous. Le coffre de clés effectue la rotation des certificats par défaut, une fois que la durée de vie du certificat a atteint 80 %. Vous pouvez configurer ce paramètre. Pour obtenir des instructions, reportez-vous à la section Configurer la rotation automatique des certificats dans le coffre de clés. Si le certificat a expiré, la rotation automatique échoue.

Prérequis

La fonctionnalité décrite dans cet article s'applique à une instance de SQL Server activé par Azure Arc configurée pour l'authentification avec Microsoft Entra ID. Pour obtenir des instructions de configuration pour une telle instance, reportez-vous à :

Rotation des certificats gérés par le service

Avec la rotation des certificats gérés par le service, l'extension Azure pour SQL Server effectue la rotation des certificats.

Pour autoriser le service à gérer le certificat, ajoutez une stratégie d'accès pour le principal de service avec l'autorisation de signer des clés. Reportez-vous à Attribuer une stratégie d'accès (héritée) pour le coffre de clés. L'affectation de la stratégie d'accès doit faire explicitement référence au principal de service du serveur Arc.

Important

Pour activer la rotation des certificats gérés par le service, vous devez affecter l’autorisation clé Signer à l’identité managée du serveur Arc. Si cette autorisation n’est pas attribuée, la rotation des certificats gérés par le service n’est pas activée.

Pour obtenir des instructions, reportez-vous à la page Créer et attribuer un certificat.

Remarque

Aucune autorisation spécifique n’est requise pour qu’une application déploie ses propres clés. Consultez Application : addKey.

Dès qu'un nouveau certificat est découvert, il est automatiquement téléchargé vers l'inscription d'applications.

Remarque

Pour Linux, l'ancien certificat ne sera pas supprimé de l'inscription d'applications utilisée pour Microsoft Entra ID et SQL Server s'exécutant sur la machine Linux devra être redémarré manuellement.

Rotation des certificats gérés par le client

Pour la rotation des certificats gérés par le client :

  1. Créer une nouvelle version du certificat dans Azure Key Vault.

    Dans Azure Key Vault, vous pouvez définir n'importe quel pourcentage pour la période de durée de vie du certificat.

    Lorsque vous configurez un certificat avec Azure Key Vault, vous définissez ses attributs de cycle de vie. Par exemple :

    • Période de validité : à l'expiration du certificat.
    • Type d'action de durée de vie : ce qui se passe à l'approche de l'expiration, notamment : renouvellement automatique et alerte.

    Pour plus de détails sur les options de configuration des certificats, reportez-vous à Mise à jour des attributs du cycle de vie des certificats au moment de la création.

  2. Téléchargez le nouveau certificat au format .cer et téléchargez-le dans l'inscription d'applications à la place de l'ancien certificat.

Remarque

Pour Linux, vous devez redémarrer manuellement le service SQL Server afin que le nouveau certificat soit utilisé pour l'authentification.

Une fois qu'un nouveau certificat est créé dans Azure Key Vault, l'extension Azure pour SQL Server vérifie chaque jour un nouveau certificat. Si le nouveau certificat est disponible, l'extension installe le nouveau certificat sur le serveur et supprime l'ancien certificat.

Une fois le nouveau certificat installé, vous pouvez supprimer les anciens certificats de l'inscription d'applications, car ils ne seront pas utilisés.

L'installation d'un nouveau certificat sur le serveur peut prendre jusqu'à 24 heures. Il est recommandé de supprimer l'ancien certificat de l'inscription d'applications 24 heures après la création de la nouvelle version du certificat.

Si la nouvelle version du certificat est créée et installée sur le serveur, mais pas chargée sur l'inscription d'applications, le portail affiche un message d'erreur sur la ressource SQL Server - Azure Arc sous Microsoft Entra ID.

Étapes suivantes