Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Server
Rozšíření Azure pro SQL Server, které podporuje Azure Arc, může automaticky obměňovat certifikáty pro MICROSOFT Entra ID pro certifikáty spravované službou a registraci spravované aplikace služby. U certifikátů spravovaných zákazníkem a registrace aplikací spravovaných zákazníkem můžete podle pokynů otočit certifikát použitý pro ID Microsoft Entra.
Tento článek vysvětluje, jak funguje automatická obměně certifikátů a obměny certifikátů spravovaných zákazníkem a identifikuje specifika procesu pro operační systémy Windows a Linux.
Můžete povolit jednu z těchto akcí:
Azure Key Vault automaticky obměňuje certifikát za vás. Trezor klíčů rotuje certifikáty ve výchozím nastavení poté, co životnost certifikátu dosáhne 80%. Toto nastavení můžete nakonfigurovat. Pokyny najdete v tématu Konfigurace automatické obměny certifikátů ve službě Key Vault. Pokud vypršela platnost certifikátu, automatická obměna selže.
Předpoklad
Funkce popsané v tomto článku platí pro instanci SQL Serveru povolenou službou Azure Arc nakonfigurovanou pro ověřování pomocí Microsoft Entra ID. Pokyny ke konfiguraci takové instance najdete v těchto tématech:
Rotace certifikátů spravovaných službou
Díky obměně certifikátů spravovaných službou obměňuje rozšíření Azure pro SQL Server certifikáty.
Důležitý
Pokud chcete povolit obměnu certifikátů spravovaných službou, musí být certifikát i registrace aplikace nakonfigurované jako spravované službou. Bez této konfigurace nedojde k automatické obměně.
Pokud chcete službě povolit správu certifikátu, přidejte zásadu přístupu pro služební principál s oprávněním podepisovat klíče. Viz Přiřazení zásad přístupu ke službě Key Vault (starší verze). Přiřazení zásad přístupu musí explicitně odkazovat na služební principál serveru Arc.
Důležitý
Pokud chcete povolit obměnu certifikátů spravovaných službou, musíte přiřadit oprávnění ke klíči Podepsat spravované identitě serveru Arc. Pokud toto oprávnění není přiřazené, není povolená obměně certifikátů spravovaných službou.
Pokyny najdete v tématu Vytvoření a přiřazení certifikátu.
Poznámka
Pro aplikaci nejsou vyžadována žádná konkrétní oprávnění k vytvoření vlastních klíčů. Viz Aplikace: addKey.
Po zjištění nového certifikátu se automaticky nahraje do registrace aplikace.
Poznámka
V případě Linuxu se starý certifikát neodstraní z registrace aplikace použité pro ID Microsoft Entra a SQL Server spuštěný na počítači s Linuxem se bude muset ručně restartovat.
Rotace certifikátů spravovaných zákazníkem
Rotace certifikátů spravovaných zákazníkem:
Vytvořte novou verzi certifikátu ve službě Azure Key Vault.
Ve službě Azure Key Vault můžete pro dobu životnosti certifikátu nastavit libovolné procento.
Při konfiguraci certifikátu se službou Azure Key Vault definujete jeho atributy životního cyklu. Například:
- Období platnosti – kdy platnost certifikátu vyprší.
- Typ akce životnosti – co se stane, když se blíží vypršení platnosti, včetně automatického prodlužování platnosti a upozorňování.
Podrobnosti o možnostech konfigurace certifikátu najdete v tématu Aktualizace atributů životního cyklu certifikátu při vytváření.
Stáhněte si nový certifikát ve formátu
.cera nahrajte ho do registrace aplikace místo starého certifikátu.
Poznámka
V případě Linuxu je potřeba službu SQL Serveru restartovat ručně, aby se nový certifikát používal k ověřování.
Jakmile se ve službě Azure Key Vault vytvoří nový certifikát, rozšíření Azure pro SQL Server každý den vyhledá nový certifikát. Pokud je nový certifikát k dispozici, rozšíření nainstaluje nový certifikát na server a odstraní starý certifikát.
Po instalaci nového certifikátu můžete z registrace aplikace odstranit starší certifikáty, protože se nepoužijí.
Instalace nového certifikátu na server může trvat až 24 hodin. Doporučený čas odstranění starého certifikátu z registrace aplikace je po 24 hodinách od okamžiku vytvoření nové verze certifikátu.
Pokud je na serveru vytvořena a nainstalována nová verze certifikátu, ale není nahrána do registrace aplikace, na portálu se zobrazí chybová zpráva týkající se prostředku SQL Server – Azure Arc v části Microsoft Entra ID.