証明書のローテーション
適用対象: SQL Server
Azure Arc によって有効化された SQL Server では、Microsoft Entra ID のサービス管理証明書を SQL Server 用の Azure 拡張機能で、自動的にローテーションできます。 カスタマー マネージド証明書の場合は、手順に従って、Microsoft Entra ID に使用される証明書をローテーションできます。
Note
Microsoft Entra ID は、以前は Azure Active Directory (Azure AD) と呼ばれていました。
この記事では、証明書の自動ローテーションとカスタマー マネージド証明書ローテーションのしくみについて説明し、Windows および Linux オペレーティング システムのプロセスの詳細を示します。
次のいずれかの方法で有効にすることができます。
Azure Key Vault によって証明書が自動的にローテーションされます。 Key Vault では、証明書の有効期間が 80% に設定された後、証明書が既定でローテーションされます。 この設定を使用して構成できます。 手順については、「Key Vault での証明書の自動ローテーションの構成」を参照してください。 証明書の有効期限が切れている場合、自動ローテーションは失敗します。
前提条件
この記事で説明する機能は、Microsoft Entra ID による認証用に構成された Azure Arc によって有効化された SQL Server のインスタンスに適用されます。 そのようなインスタンスを構成する方法については、次を参照してください。
サービス マネージド証明書のローテーション
サービス マネージド証明書のローテーションでは、SQL Server 用の Azure 拡張機能によって証明書がローテーションされます。
サービスが証明書を管理できるようにするには、キーに署名するアクセス許可を持つサービス プリンシパルのアクセス ポリシーを追加します。 「Key Vault アクセス ポリシーを割り当てる (レガシ)」を参照してください。 アクセス ポリシーの割り当ては、Arc サーバーのサービス プリンシパルを明示的に参照する必要があります。
重要
サービス管理証明書のローテーションを有効にするには、Arc サーバーマネージド ID にキーアクセス許可 Sign を割り当てる必要があります。 このアクセス許可が割り当てられていない場合、サービス管理証明書のローテーションは有効になりません。
手順については、「証明書の作成と割り当て」を参照してください。
Note
アプリケーションが独自のキーをローリングするために必要な特別なアクセス許可はありません。 「Application: addKey」を参照してください。
新しい証明書が検出されると、アプリの登録に自動的にアップロードされます。
Note
Linux の場合、Microsoft Entra ID に使用されているアプリ登録から以前の証明書は削除されず、Linux マシンで実行されている SQL Server を手動で再起動する必要があります。
顧客が管理する証明書のローテーション
顧客が管理する証明書のローテーションの場合:
Azure Key Vault で証明書の新しいバージョンを作成します。
Azure Key Vault では、証明書の有効期間に対して任意の割合を設定できます。
Azure Key Vault で証明書を構成する場合は、そのライフサイクル属性を定義します。 次に例を示します。
- 有効期間 - 証明書の有効期限が切れる日時。
- 有効期間アクションの種類 - 有効期限が近づくとどうなりますか(自動更新、アラートなど)。
証明書の構成オプションの詳細については、「作成時の証明書ライフサイクル属性の更新」を参照してください。
新しい証明書を
.cer
形式でダウンロードし、古い証明書の代わりにアプリ登録にアップロードします。
Note
Linux の場合は、新しい証明書が認証に使用されるように、SQL Server サービスを手動で再起動する必要があります。
Azure Key Vault で新しい証明書が作成されると、SQL Server 用の Azure 拡張機能によって毎日新しい証明書がチェックされます。 新しい証明書が使用可能な場合、拡張機能はサーバーに新しい証明書をインストールし、以前の証明書を削除します。
新しい証明書がインストールされると、以前の証明書は使用されないため、アプリの登録から削除できます。
新しい証明書がサーバーにインストールされるまで、最大 24 時間かかる場合があります。 アプリの登録から以前の証明書を削除する推奨時間は、証明書の新しいバージョンを作成してから 24 時間後です。
新しいバージョンの証明書が作成され、サーバーにインストールされているが、アプリの登録にはアップロードされていない場合、ポータルには、[Microsoft Entra ID] の下の [SQL Server - Azure Arc] リソースにエラー メッセージが表示されます。
次のステップ
- SQL Server を Azure Arc に自動的に接続する
- Azure Sentinel を使用して、セキュリティのアラートと攻撃をさらに詳しく調査できます。 詳しくは、Azure Sentinel のオンボードに関する記事をご覧ください。