Rotieren von Zertifikaten
Gilt für: SQL Server
Auf SQL Server mit Azure Arc-Unterstützung kann die Azure-Erweiterung für SQL Server Zertifikate für Microsoft Entra ID für vom Dienst verwaltete Zertifikate automatisch wechseln. Für vom Kunden verwaltete Zertifikate können Sie die Schritte zum Rotieren des Zertifikats ausführen, das für Microsoft Entra ID verwendet wird.
Hinweis
Microsoft Entra ID war zuvor als Azure Active Directory (Azure AD) bekannt.
Dieser Artikel erläutert, wie die automatische Zertifikatrotation und die vom Kunden verwaltete Zertifikatrotation funktioniert, und beschreibt die Besonderheiten des Prozesses für Windows- und Linux-Betriebssysteme.
Sie können eine der folgenden Optionen aktivieren:
Azure Key Vault wechselt das Zertifikat automatisch für Sie. Key Vault wechselt Zertifikate standardmäßig, wenn die Lebensdauer des Zertifikats bei 80 % liegt. Diese Einstellung kann konfiguriert werden. Anweisungen finden Sie unter Konfigurieren der automatischen Zertifikatatrotation in Key Vault. Wenn das Zertifikat abgelaufen ist, ist die automatische Rotation nicht mehr möglich.
Voraussetzungen
Die in diesem Artikel beschriebene Funktionalität gilt für eine Instanz von SQL Server mit Azure Arc-Unterstützung, die für die Authentifizierung mit Microsoft Entra ID konfiguriert ist. Anweisungen zum Konfigurieren einer solchen Instanz finden Sie unter:
Vom Dienst verwaltete Zertifikatrotation
Bei vom Dienst verwalteter Zertifikatrotation, wechselt die Azure-Erweiterung für SQL Server die Zertifikate.
Damit der Dienst das Zertifikat verwalten kann, müssen Sie eine Zugriffsrichtlinie für den Dienstprinzipal mit der Berechtigung zum Signieren von Schlüsseln hinzufügen. Siehe Zuweisen einer Key Vault-Zugriffsrichtlinie (Legacy). Die Zuweisung der Zugriffsrichtlinie muss explizit auf den Dienstprinzipal des Arc-Servers verweisen.
Wichtig
Um die vom Dienst verwaltete Zertifikatsrotation zu aktivieren, müssen Sie der vom Arc-Server verwalteten Identität die Schlüsselberechtigung Signieren zuweisen. Wenn diese Berechtigung nicht zugewiesen ist, ist die vom Dienst verwaltete Zertifikatsrotation nicht aktiviert.
Anweisungen hierzu finden Sie unter Erstellen und Zuweisen eines Zertifikats.
Hinweis
Es sind keine spezifischen Berechtigungen für eine Anwendung zur Rotation eigener Schlüssel erforderlich. Weitere Informationen finden Sie unter Anwendung: addKey.
Sobald ein neues Zertifikat erkannt wurde, wird es automatisch in die App-Registrierung hochgeladen.
Hinweis
Bei Linux wird das alte Zertifikat nicht aus der App-Registrierung gelöscht, die für Microsoft Entra ID verwendet wird, und der auf dem Linux-Computer laufende SQL-Server muss manuell neu gestartet werden.
Vom Kunden verwaltete Zertifikatrotation
Für die vom Kunden verwaltete Zertifikatrotation:
Erstellen Sie eine neue Version des Zertifikats in Azure Key Vault.
In Azure Key Vault können Sie einen beliebigen Prozentsatz für die Lebensdauer des Zertifikats festlegen.
Wenn Sie ein Zertifikat mit Azure Key Vault konfigurieren, definieren Sie die Attribute seines Lebenszyklus. Zum Beispiel:
- Gültigkeitsdauer – wann das Zertifikat abläuft.
- Lebensdauer-Aktionstyp – Was geschieht, wenn das Ablaufdatum naht, einschließlich: automatische Verlängerung und Warnung.
Ausführliche Informationen zu Zertifikatkonfigurationsoptionen finden Sie unter Aktualisieren der Attribute des Zertifikatlebenszyklus zum Zeitpunkt der Erstellung.
Laden Sie das neue Zertifikat im
.cer
-Format herunter, und laden Sie es anstelle des alten Zertifikats in die App-Registrierung hoch.
Hinweis
Für Linux müssen Sie den SQL Server-Dienst manuell neu starten, damit das neue Zertifikat für die Authentifizierung verwendet wird.
Sobald ein neues Zertifikat im Azure Key Vault erstellt wurde, sucht die Azure-Erweiterung für SQL Server täglich nach einem neuen Zertifikat. Wenn das neue Zertifikat verfügbar ist, installiert die Erweiterung das neue Zertifikat auf dem Server und löscht das alte Zertifikat.
Nachdem das neue Zertifikat installiert wurde, können Sie ältere Zertifikate aus der App-Registrierung löschen, da sie nicht mehr verwendet werden.
Die Installation eines neuen Zertifikats auf dem Server kann bis zu 24 Stunden dauern. Es wird empfohlen, das alte Zertifikat frühestens 24 Stunden nach Erstellen der neuen Version des Zertifikats aus der App-Registrierung zu löschen.
Wenn die neue Version des Zertifikats erstellt und auf dem Server installiert, aber nicht in die App-Registrierung hochgeladen ist, zeigt das Portal eine Fehlermeldung unter der Ressource SQL Server – Azure Arc unter Microsoft Entra ID an.
Nächste Schritte
- Automatisches Herstellen einer Verbindung zwischen Ihrer SQL Server-Instanz und Azure Arc
- Sie können Sicherheitswarnungen und Angriffe mit Azure Sentinel weiter untersuchen. Weitere Informationen finden Sie unter Ausführen des Onboardings für Azure Sentinel.