Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL Server
På SQL Server som aktiveras av Azure Arc kan Azure-tillägget för SQL Server automatiskt rotera certifikat för Microsoft Entra-ID för tjänsthanterade certifikat och tjänsthanterad appregistrering. För kundhanterade certifikat och registrering av kundhanterade appar kan du följa stegen för att rotera certifikatet som används för Microsoft Entra-ID.
Anmärkning
Microsoft Entra-ID kallades tidigare Azure Active Directory (Azure AD).
Den här artikeln beskriver hur automatisk certifikatrotation och kundhanterad certifikatrotation fungerar och identifierar processinformationen för Windows- och Linux-operativsystem.
Du kan aktivera antingen:
Azure Key Vault roterar automatiskt certifikatet åt dig. Nyckelvalvet roterar certifikat som standard när certifikatets livslängd är 80%. Du kan konfigurera den här inställningen. Anvisningar finns i Konfigurera automatisk rotation av certifikat i Key Vault. Om certifikatet har upphört att gälla misslyckas den automatiska rotationen.
Förutsättning
Funktionerna som beskrivs i den här artikeln gäller för en instans av SQL Server som har aktiverats av Azure Arc som konfigurerats för autentisering med Microsoft Entra-ID. Anvisningar för hur du konfigurerar en sådan instans finns i:
Tjänsthanterad certifikatrotation
Med tjänsthanterad certifikatrotation roterar Azure-tillägget för SQL Server certifikaten.
Viktigt!
För att aktivera tjänsthanterad certifikatrotation måste både certifikatet och appregistreringen konfigureras som tjänsthanterade. Utan den här konfigurationen sker inte automatisk rotation.
Om du vill tillåta att tjänsten hanterar certifikatet lägger du till en åtkomstprincip för tjänstens huvudnamn med behörighet att signera nycklar. Se även Tilldela en Key Vault-åtkomstprincip (äldre). Tilldelningen av åtkomstprincipen måste uttryckligen referera till tjänstens huvudnamn för Arc-servern.
Viktigt!
Om du vill aktivera tjänsthanterad certifikatrotation måste du tilldela nyckelbehörighet Signera till arc-serverns hanterade identitet. Om den här behörigheten inte har tilldelats aktiveras inte den tjänsthanterade certifikatrotationen.
Anvisningar finns i Skapa och tilldela ett certifikat.
Anmärkning
Det finns inga specifika behörigheter som krävs för att ett program ska kunna distribuera sina egna nycklar. Se Applikation: addKey.
När ett nytt certifikat har identifierats laddas det upp till appregistrering automatiskt.
Anmärkning
För Linux tas det gamla certifikatet inte bort från appregistreringen som används för Microsoft Entra-ID och SQL Server som körs på Linux-datorn måste startas om manuellt.
Kundhanterad certifikatrotation
För kundhanterad certifikatrotation:
Skapa en ny version av certifikatet i Azure Key Vault.
I Azure Key Vault kan du ange valfri procentandel för certifikatets livslängdsperiod.
När du konfigurerar ett certifikat med Azure Key Vault definierar du dess livscykelattribut. Till exempel:
- Giltighetsperiod – när certifikatet upphör att gälla.
- Åtgärdstyp för livslängd – vad händer när förfallodatumet närmar sig, inklusive: automatisk förnyelse och aviseringar.
Mer information om konfigurationsalternativ för certifikat finns i Uppdatera certifikatets livscykelattribut när det skapas.
Ladda ned det nya certifikatet i
.cerformat och ladda upp det till appregistreringen i stället för det gamla certifikatet.
Anmärkning
För Linux måste du starta om SQL Server-tjänsten manuellt så att det nya certifikatet används för autentisering.
När ett nytt certifikat har skapats i Azure Key Vault söker Azure-tillägget för SQL Server efter ett nytt certifikat dagligen. Om det nya certifikatet är tillgängligt installerar tillägget det nya certifikatet på servern och tar bort det gamla certifikatet.
När det nya certifikatet har installerats kan du ta bort äldre certifikat från appregistreringen eftersom de inte används.
Det kan ta upp till 24 timmar innan ett nytt certifikat installeras på servern. Den rekommenderade tiden för att ta bort det gamla certifikatet från appregistreringen är efter 24 timmar från det att du skapar den nya versionen av certifikatet.
Om den nya versionen av certifikatet skapas och installeras på servern, men inte laddas upp till appregistrering, visas ett felmeddelande på SQL Server – Azure Arc-resursen under Microsoft Entra-ID.