Ротация сертификатов
Область применения: SQL Server
В SQL Server, включенном Azure Arc, расширение Azure для SQL Server может автоматически повернуть сертификаты для идентификатора Microsoft Entra для управляемых сертификатов службы. Для управляемых клиентом сертификатов можно выполнить шаги по смене сертификата, используемого для идентификатора Microsoft Entra.
Примечание.
Идентификатор Microsoft Entra ранее был известен как Azure Active Directory (Azure AD).
В этой статье объясняется, как работает автоматическая смена сертификатов и смена управляемых клиентом сертификатов и определяет особенности процесса для операционных систем Windows и Linux.
Можно включить любой из следующих вариантов:
Azure Key Vault автоматически поворачивает сертификат. Хранилище ключей по умолчанию сменяет сертификаты после времени существования сертификата на 80 %. Этот параметр можно настроить. Инструкции см . в статье "Настройка автоматического поворота сертификата" в Key Vault. Если срок действия сертификата истек, автоматический поворот завершается ошибкой.
Предварительные требования
Функциональные возможности, описанные в этой статье, применяются к экземпляру SQL Server, включенному Azure Arc для проверки подлинности с помощью идентификатора Microsoft Entra. Инструкции по настройке такого экземпляра см. в следующих статье:
Смена управляемых сертификатов службы
При смене управляемого сертификата службы расширение Azure для SQL Server поворачивает сертификаты.
Чтобы разрешить службе управлять сертификатом, добавьте политику доступа для субъекта-службы с разрешением на подписание ключей. См. статью "Назначение политики доступа Key Vault ( устаревшая версия)". Назначение политики доступа должно явно ссылаться на субъект-службу сервера Arc.
Внимание
Чтобы включить смену управляемых сертификатов службы, необходимо назначить знак разрешения ключа управляемому удостоверению сервера Arc. Если это разрешение не назначено, смена управляемых сертификатов службы не включена.
Инструкции см. в разделе "Создание и назначение сертификата".
Примечание.
Для развертывания собственных ключей приложение не требует определенных разрешений. См . раздел "Приложение: addKey".
После обнаружения нового сертификата он автоматически передается в регистрацию приложения.
Примечание.
Для Linux старый сертификат не будет удален из регистрации приложения, используемого для идентификатора Microsoft Entra, и SQL Server, запущенный на компьютере Linux, потребуется перезапустить вручную.
Смена управляемых клиентом сертификатов
Для смены управляемых клиентом сертификатов:
Создайте новую версию сертификата в Azure Key Vault.
В Azure Key Vault можно задать любой процент за период существования сертификата.
При настройке сертификата с помощью Azure Key Vault необходимо определить его атрибуты жизненного цикла. Например:
- Срок действия — срок действия сертификата.
- Тип действия времени существования — то, что происходит при подходе к истечению срока действия, включая автоматическое продление и оповещение.
Дополнительные сведения о параметрах конфигурации сертификата см. в разделе "Обновление атрибутов жизненного цикла сертификата" во время создания.
Скачайте новый сертификат в
.cer
формате и отправьте его в регистрацию приложения вместо старого сертификата.
Примечание.
Для Linux необходимо перезапустить службу SQL Server вручную, чтобы новый сертификат использовался для проверки подлинности.
После создания нового сертификата в Azure Key Vault расширение Azure для SQL Server проверяет наличие нового сертификата ежедневно. Если новый сертификат доступен, расширение устанавливает новый сертификат на сервере и удаляет старый сертификат.
После установки нового сертификата можно удалить старые сертификаты из регистрации приложения, так как они не будут использоваться.
Для установки нового сертификата на сервере может потребоваться до 24 часов. Рекомендуемое время удаления старого сертификата из регистрации приложения — через 24 часа с момента создания новой версии сертификата.
Если новая версия сертификата создана и установлена на сервере, но не загружена в регистрацию приложения, на портале отображается сообщение об ошибке на ресурсе SQL Server — Ресурс Azure Arc в идентификаторе Microsoft Entra.
Следующие шаги
- Автоматическое подключение SQL Server к Azure Arc
- Вы можете подробнее анализировать оповещения системы безопасности и атаки с помощью Azure Sentinel. Дополнительные сведения см. в статье о подключении Azure Sentinel.