Certificaten vernieuwen

van toepassing op:SQL Server-

Op SQL Server die is ingeschakeld door Azure Arc, kan de Azure-extensie voor SQL Server automatisch certificaten voor Microsoft Entra ID roteren voor door de service beheerde certificaten. Voor door de klant beheerde certificaten kunt u de stappen volgen om het certificaat te roteren dat wordt gebruikt voor Microsoft Entra-id.

Notitie

Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.

In dit artikel wordt uitgelegd hoe automatische certificaatrotatie en door de klant beheerde certificaatrotatie werkt en de procesdetails voor Windows- en Linux-besturingssystemen identificeert.

U kunt het volgende inschakelen:

• Door de service beheerde certificaatrotatie

  of

• door de klant beheerde certificaatrotatie

In Azure Key Vault wordt het certificaat automatisch voor u gedraaid. Key Vault roteert certificaten standaard, nadat de levensduur van het certificaat is ingesteld op 80%. U kunt deze instelling configureren. Raadpleeg Automatische rotatie van certificaten configureren in Key Vaultvoor instructies. Als het certificaat is verlopen, mislukt de automatische rotatie.

Voorwaarde

De functionaliteit die in dit artikel wordt beschreven, is van toepassing op een exemplaar van SQL Server dat is ingeschakeld door Azure Arc die is geconfigureerd voor verificatie met Microsoft Entra-id. Zie voor instructies voor het configureren van een dergelijke instantie:

• Microsoft Entra ID-verificatie voor SQL Server

Certificaatrotatie beheerd door de service

Met certificaatrotatie beheerd door de service draait de Azure-extensie voor SQL Server de certificaten automatisch.

Als u wilt toestaan dat de service het certificaat beheert, voegt u een toegangsbeleid toe voor de service-principal met toestemming om sleutels te ondertekenen. Zie wijs een Key Vault-toegangsbeleid (verouderd) toe. De toewijzing van het toegangsbeleid moet expliciet verwijzen naar de service-principal van de Arc-server.

Belangrijk

Om door de service beheerde certificaatrotatie in te schakelen, moet u de sleutelmachtiging Ondertekenen toewijzen aan de beheerde identiteit van de Arc-server. Als deze machtiging niet is toegewezen, is het rouleren van door de service beheerde certificaten niet ingeschakeld.

Zie Een certificaat maken en toewijzenvoor instructies.

Notitie

Er zijn geen specifieke machtigingen vereist voor een toepassing om zijn eigen sleutels te rollen. Zie Applicatie: addKey.

Zodra een nieuw certificaat is gedetecteerd, wordt het automatisch geüpload naar app-registratie.

Notitie

Voor Linux wordt het oude certificaat niet verwijderd uit de app-registratie die wordt gebruikt voor Microsoft Entra-id en moet de SQL Server die op de Linux-computer wordt uitgevoerd, handmatig opnieuw worden opgestart.

Door de klant beheerde certificaatrotatie

Voor door de klant beheerde certificaatrotatie:

1. Maak een nieuwe versie van het certificaat in Azure Key Vault.

   In Azure Key Vault kunt u elk percentage voor de levensduur van het certificaat instellen.

   Wanneer u een certificaat configureert met Azure Key Vault, definieert u de levenscycluskenmerken. Bijvoorbeeld:

   • Geldigheidsperiode: wanneer het certificaat verloopt.
   • Actietype Levensduur: wat gebeurt er wanneer de vervaldatum nadert, waaronder: automatische verlenging en waarschuwingen.

   Zie voor meer informatie over certificaatconfiguratie-opties Levenscycluskenmerken van certificaten bijwerken tijdens het aanmaken.

2. Download het nieuwe certificaat in .cer-indeling en upload het naar de app-registratie in plaats van het oude certificaat.

Notitie

Voor Linux moet u de SQL Server-service handmatig opnieuw opstarten, zodat het nieuwe certificaat wordt gebruikt voor verificatie.

Zodra een nieuw certificaat is gemaakt in Azure Key Vault, controleert de Azure-extensie voor SQL Server dagelijks op een nieuw certificaat. Als het nieuwe certificaat beschikbaar is, installeert de extensie het nieuwe certificaat op de server en verwijdert het oude certificaat.

Nadat het nieuwe certificaat is geïnstalleerd, kunt u oudere certificaten verwijderen uit app-registratie omdat ze niet worden gebruikt.

Het kan tot 24 uur duren voordat een nieuw certificaat op de server is geïnstalleerd. De aanbevolen tijd voor het verwijderen van het oude certificaat uit app-registratie is na 24 uur na het moment dat u de nieuwe versie van het certificaat maakt.

Als de nieuwe versie van het certificaat wordt gemaakt en geïnstalleerd op de server, maar niet is geüpload naar app-registratie, wordt in de portal een foutbericht weergegeven op de SQL Server - Azure Arc resource onder Microsoft Entra ID.

Volgende stappen

• Uw SQL Server automatisch verbinden met Azure Arc
• U kunt de beveiligingswaarschuwingen en -aanvallen verder onderzoeken met behulp van Azure Sentinel-. Zie aan boord van Azure Sentinelvoor meer informatie.