Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
SQL Server-
Op SQL Server waarvoor Azure Arc is ingeschakeld, kan de Azure-extensie voor SQL Server automatisch certificaten roteren voor Microsoft Entra-id voor service beheerde certificaten en registratie van door de service beheerde app. Voor door de klant beheerde certificaten en door de klant beheerde app-registratie kunt u de stappen volgen om het certificaat te roteren dat wordt gebruikt voor Microsoft Entra-id.
Notitie
Microsoft Entra ID voorheen Azure Active Directory (Azure AD) werd genoemd.
In dit artikel wordt uitgelegd hoe automatische certificaatrotatie en door de klant beheerde certificaatrotatie werkt en de procesdetails voor Windows- en Linux-besturingssystemen identificeert.
U kunt het volgende inschakelen:
In Azure Key Vault wordt het certificaat automatisch voor u gedraaid. Key Vault roteert certificaten standaard, nadat de levensduur van het certificaat is ingesteld op 80%. U kunt deze instelling configureren. Raadpleeg Automatische rotatie van certificaten configureren in Key Vaultvoor instructies. Als het certificaat is verlopen, mislukt de automatische rotatie.
Voorwaarde
De functionaliteit die in dit artikel wordt beschreven, is van toepassing op een exemplaar van SQL Server dat is ingeschakeld door Azure Arc die is geconfigureerd voor verificatie met Microsoft Entra-id. Zie voor instructies voor het configureren van een dergelijke instantie:
Certificaatrotatie beheerd door de service
Met certificaatrotatie beheerd door de service draait de Azure-extensie voor SQL Server de certificaten automatisch.
Belangrijk
Als u servicebeheerde certificaatrotatie wilt inschakelen, moeten zowel het certificaat als de app-registratie worden geconfigureerd als door de service beheerd. Zonder deze configuratie wordt automatische rotatie niet uitgevoerd.
Als u wilt toestaan dat de service het certificaat beheert, voegt u een toegangsbeleid toe voor de service-principal met toestemming om sleutels te ondertekenen. Zie wijs een Key Vault-toegangsbeleid (verouderd) toe. De toewijzing van het toegangsbeleid moet expliciet verwijzen naar de service-principal van de Arc-server.
Belangrijk
Om door de service beheerde certificaatrotatie in te schakelen, moet u de sleutelmachtiging Ondertekenen toewijzen aan de beheerde identiteit van de Arc-server. Als deze machtiging niet is toegewezen, wordt de door de service beheerde certificaatrotatie niet ingeschakeld.
Zie Een certificaat maken en toewijzenvoor instructies.
Notitie
Er zijn geen specifieke machtigingen vereist voor een toepassing om zijn eigen sleutels te rollen. Zie Applicatie: addKey.
Zodra een nieuw certificaat is gedetecteerd, wordt het automatisch geüpload naar app-registratie.
Notitie
Voor Linux wordt het oude certificaat niet verwijderd uit de app-registratie die wordt gebruikt voor Microsoft Entra-id en moet de SQL Server die op de Linux-computer wordt uitgevoerd, handmatig opnieuw worden opgestart.
Door de klant beheerde certificaatrotatie
Voor door de klant beheerde certificaatrotatie:
Maak een nieuwe versie van het certificaat in Azure Key Vault.
In Azure Key Vault kunt u elk percentage voor de levensduur van het certificaat instellen.
Wanneer u een certificaat configureert met Azure Key Vault, definieert u de levenscycluskenmerken. Bijvoorbeeld:
- Geldigheidsperiode: wanneer het certificaat verloopt.
- Actietype Levensduur: wat gebeurt er wanneer de vervaldatum nadert, waaronder: automatische verlenging en waarschuwingen.
Zie voor meer informatie over certificaatconfiguratie-opties Levenscycluskenmerken van certificaten bijwerken tijdens het aanmaken.
Download het nieuwe certificaat in
.cer-indeling en upload het naar de app-registratie in plaats van het oude certificaat.
Notitie
Voor Linux moet u de SQL Server-service handmatig opnieuw opstarten, zodat het nieuwe certificaat wordt gebruikt voor verificatie.
Zodra een nieuw certificaat is gemaakt in Azure Key Vault, controleert de Azure-extensie voor SQL Server dagelijks op een nieuw certificaat. Als het nieuwe certificaat beschikbaar is, installeert de extensie het nieuwe certificaat op de server en verwijdert het oude certificaat.
Nadat het nieuwe certificaat is geïnstalleerd, kunt u oudere certificaten verwijderen uit app-registratie omdat ze niet worden gebruikt.
Het kan tot 24 uur duren voordat een nieuw certificaat op de server is geïnstalleerd. De aanbevolen tijd voor het verwijderen van het oude certificaat uit app-registratie is na 24 uur na het moment dat u de nieuwe versie van het certificaat maakt.
Als de nieuwe versie van het certificaat wordt gemaakt en geïnstalleerd op de server, maar niet is geüpload naar app-registratie, wordt in de portal een foutbericht weergegeven op de SQL Server - Azure Arc resource onder Microsoft Entra ID.