Bagikan melalui

Memutar sertifikat

  • Artikel

Berlaku untuk:SQL Server

Di SQL Server yang diaktifkan oleh Azure Arc, ekstensi Azure untuk SQL Server dapat secara otomatis memutar sertifikat untuk ID Microsoft Entra untuk sertifikat terkelola layanan. Untuk sertifikat yang dikelola pelanggan, Anda dapat mengikuti langkah-langkah untuk memutar sertifikat yang digunakan untuk ID Microsoft Entra.

Catatan

ID Microsoft Entra sebelumnya dikenal sebagai Azure Active Directory (Azure AD).

Artikel ini menjelaskan cara kerja rotasi sertifikat otomatis dan rotasi sertifikat yang dikelola pelanggan dan mengidentifikasi proses khusus untuk sistem operasi Windows dan Linux.

Anda dapat mengaktifkan:

Azure Key Vault secara otomatis memutar sertifikat untuk Anda. Key vault memutar sertifikat secara default, setelah masa pakai sertifikat adalah 80%. Anda dapat mengonfigurasi pengaturan ini. Untuk petunjuknya, tinjau Mengonfigurasi rotasi otomatis sertifikat di Key Vault. Jika sertifikat telah kedaluwarsa, maka rotasi otomatis gagal.

Prasyarat

Fungsionalitas yang dijelaskan dalam artikel ini berlaku untuk instans SQL Server yang diaktifkan oleh Azure Arc yang dikonfigurasi untuk autentikasi dengan ID Microsoft Entra. Untuk instruksi untuk mengonfigurasi instans seperti itu, lihat:

Rotasi sertifikat terkelola layanan

Dengan rotasi sertifikat terkelola layanan, Ekstensi Azure untuk SQL Server memutar sertifikat.

Untuk mengizinkan layanan mengelola sertifikat, tambahkan kebijakan akses untuk perwakilan layanan dengan izin untuk menandatangani kunci. Lihat Menetapkan kebijakan akses Key Vault (warisan). Penetapan kebijakan akses perlu secara eksplisit mereferensikan perwakilan layanan server Arc.

Penting

Untuk mengaktifkan rotasi sertifikat terkelola layanan, Anda harus menetapkan izin kunci Masuk ke identitas terkelola server Arc. Jika izin ini tidak ditetapkan, maka rotasi sertifikat terkelola layanan tidak diaktifkan..

Untuk petunjuknya, lihat Membuat dan menetapkan sertifikat.

Setelah sertifikat baru ditemukan, sertifikat diunggah ke pendaftaran aplikasi secara otomatis.

Catatan

Untuk Linux, sertifikat lama tidak akan dihapus dari pendaftaran aplikasi yang digunakan untuk ID Microsoft Entra dan SQL Server yang berjalan di komputer Linux harus dimulai ulang secara manual.

Rotasi sertifikat yang dikelola pelanggan

Untuk rotasi sertifikat yang dikelola pelanggan:

  1. Buat versi baru sertifikat di Azure Key Vault.

    Di Azure Key Vault, Anda dapat mengatur persentase apa pun untuk periode masa pakai sertifikat.

    Saat mengonfigurasi sertifikat dengan Azure Key Vault, Anda menentukan atribut siklus hidupnya. Contohnya:

    • Periode validitas - ketika sertifikat kedaluwarsa.
    • Jenis tindakan seumur hidup - apa yang terjadi ketika kedaluwarsa mendekati, termasuk: perpanjangan otomatis, dan pemberitahuan.

    Untuk detail tentang opsi konfigurasi sertifikat, lihat Memperbarui atribut siklus hidup sertifikat pada saat pembuatan.

  2. Unduh sertifikat baru dalam .cer format dan unggah ke pendaftaran aplikasi sebagai pengganti sertifikat lama.

Catatan

Untuk Linux, Anda perlu memulai ulang layanan SQL Server secara manual sehingga sertifikat baru digunakan untuk autentikasi.

Setelah sertifikat baru dibuat di Azure Key Vault, ekstensi Azure untuk SQL Server memeriksa sertifikat baru setiap hari. Jika sertifikat baru tersedia, ekstensi menginstal sertifikat baru di server dan menghapus sertifikat lama.

Setelah sertifikat baru diinstal, Anda dapat menghapus sertifikat lama dari pendaftaran aplikasi karena tidak akan digunakan.

Dibutuhkan waktu hingga 24 jam agar sertifikat baru diinstal di server. Waktu yang disarankan untuk menghapus sertifikat lama dari pendaftaran aplikasi adalah setelah 24 jam sejak Anda membuat versi baru sertifikat.

Jika versi baru sertifikat dibuat dan diinstal di server, tetapi tidak diunggah ke pendaftaran aplikasi, portal menampilkan pesan kesalahan di sumber daya SQL Server - Azure Arc di bawah ID Microsoft Entra.

Langkah berikutnya