Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A következőkre vonatkozik:
SQL Server
Az Azure Arc által engedélyezett SQL Serveren az SQL Server Azure-bővítménye automatikusan elforgathatja a Microsoft Entra ID tanúsítványait a szolgáltatás által felügyelt tanúsítványokhoz és a szolgáltatás által felügyelt alkalmazásregisztrációhoz. Az ügyfél által felügyelt tanúsítványok és az ügyfél által felügyelt alkalmazásregisztráció esetében a Microsoft Entra-azonosítóhoz használt tanúsítvány elforgatásához kövesse az alábbi lépéseket.
Jegyzet
A Microsoft Entra ID-t korábban Azure Active Directorynak (Azure AD) nevezték.
Ez a cikk bemutatja, hogyan működik az automatikus tanúsítványváltás és az ügyfél által felügyelt tanúsítvány rotálása, és azonosítja a Windows és Linux operációs rendszerek folyamatspecifikusjait.
Az alábbiakat engedélyezheti:
Az Azure Key Vault automatikusan elforgatja a tanúsítványt. A Key Vault alapértelmezés szerint elforgatja a tanúsítványokat, miután a tanúsítvány élettartama 80%. Ezt a beállítást konfigurálhatja. Útmutatásért tekintse át a Tanúsítvány automatikus elforgatásának konfigurálása a Key Vaultban című témakört. Ha a tanúsítvány lejárt, az automatikus forgatás meghiúsul.
Előfeltétel
A cikkben ismertetett funkciók az Azure Arc által engedélyezett SQL Server-példányra vonatkoznak, amely a Microsoft Entra-azonosítóval való hitelesítésre van konfigurálva. Az ilyen példány konfigurálására vonatkozó utasításokért lásd:
Szolgáltatás által felügyelt tanúsítvány rotálása
A szolgáltatás által felügyelt tanúsítvány rotálásával az SQL Server Azure-bővítménye elforgatja a tanúsítványokat.
Fontos
A szolgáltatás által felügyelt tanúsítványok rotálásának engedélyezéséhez a tanúsítványt és az alkalmazásregisztrációt is szolgáltatás által felügyeltként kell konfigurálni. E konfiguráció nélkül az automatikus elforgatás nem történik meg.
Ha engedélyezni szeretné, hogy a szolgáltatás kezelje a tanúsítványt, adjon hozzá egy hozzáférési szabályzatot a szolgáltatási főszereplőhöz, amely engedélyezi a kulcsok aláírását. Lásd: Key Vault (örökölt) hozzáférési szabályzat hozzárendelése. A hozzáférési szabályzat hozzárendelésének explicit módon hivatkoznia kell az Arc-kiszolgáló szolgáltatásnevére.
Fontos
A szolgáltatás által felügyelt tanúsítvány rotálásának engedélyezéséhez kulcsengedélyt kell hozzárendelnie az Arc-kiszolgáló által felügyelt identitáshoz. Ha ez az engedély nincs hozzárendelve, akkor a szolgáltatás által felügyelt tanúsítvány rotációja nincs engedélyezve.
Útmutatást a tanúsítvány létrehozása és hozzárendelése című témakörben talál.
Jegyzet
Nincs szükség konkrét engedélyekre ahhoz, hogy egy alkalmazás saját kulcsokat hozzon létre. Lásd : Alkalmazás: addKey.
Az új tanúsítvány felfedezése után a rendszer automatikusan feltölti azt az alkalmazásregisztrációba.
Jegyzet
Linux esetén a rendszer nem törli a régi tanúsítványt a Microsoft Entra ID azonosítóhoz használt alkalmazásregisztrációból, és a Linux gépen futó SQL Servert manuálisan újra kell indítani.
Ügyfél által felügyelt tanúsítvány rotálása
Ügyfél által felügyelt tanúsítvány rotációja esetén:
Hozza létre a tanúsítvány új verzióját az Azure Key Vaultban.
Az Azure Key Vaultban a tanúsítvány élettartamának bármely százalékát megadhatja.
Amikor egy tanúsítványt az Azure Key Vaulttal konfigurál, meghatározza annak életciklus-attribútumait. Például:
- Érvényességi időszak – a tanúsítvány lejárata.
- Élettartam-művelet típusa – mi történik a lejárat közeledésekor, például: automatikus megújítás és riasztás.
A tanúsítványkonfigurációs beállításokról további információt a tanúsítvány életciklus-attribútumainak frissítése a létrehozáskor című témakörben talál.
Töltse le az új tanúsítványt
.cerformátumban, és töltse fel az alkalmazásregisztrációba a régi tanúsítvány helyett.
Jegyzet
Linux esetén manuálisan kell újraindítania az SQL Server szolgáltatást, hogy az új tanúsítványt használhassa a hitelesítéshez.
Miután létrehozott egy új tanúsítványt az Azure Key Vaultban, az SQL Server Azure-bővítménye naponta ellenőrzi az új tanúsítványt. Ha az új tanúsítvány elérhető, a bővítmény telepíti az új tanúsítványt a kiszolgálón, és törli a régi tanúsítványt.
Az új tanúsítvány telepítése után törölheti a régebbi tanúsítványokat az alkalmazásregisztrációból, mert azok nem lesznek használatban.
Egy új tanúsítvány telepítése akár 24 órát is igénybe vehet a kiszolgálón. A régi tanúsítvány alkalmazásregisztrációból való törlésének ajánlott ideje a tanúsítvány új verziójának létrehozása után 24 óra elteltével következik be.
Ha a tanúsítvány új verziója létrejön és telepítve van a kiszolgálón, de nincs feltöltve az alkalmazásregisztrációba, a portál hibaüzenetet jelenít meg az SQL Server – Azure Arc erőforráson a Microsoft Entra ID alatt.