Ruotare i certificati
Si applica a: SQL Server
In SQL Server abilitato da Azure Arc, l'estensione Azure per SQL Server può ruotare in automatico i certificati per Microsoft Entra ID nel caso dei certificati gestiti dal servizio. Per quanto riguarda i certificati gestiti dal cliente, è possibile seguire i passaggi per ruotare il certificato usato per Microsoft Entra ID.
Nota
Microsoft Entra ID era precedentemente conosciuto come Azure Active Directory (Azure AD).
Questo articolo illustra il funzionamento della rotazione automatica dei certificati e della rotazione automatica dei certificati gestiti dal cliente e identifica le specifiche del processo per i sistemi operativi Windows e Linux.
È possibile abilitare una delle due opzioni seguenti:
Azure Key Vault ruota il certificato in automatico. L'insieme di credenziali delle chiavi ruota i certificati per impostazione predefinita, dopo che la durata del certificato è pari all'80%. Questa impostazione può essere configurata. Per istruzioni, vedere Configurare la rotazione automatica dei certificati in Key Vault. Se il certificato è scaduto, la rotazione automatica ha esito negativo.
Prerequisito
La funzionalità descritta in questo articolo si applica a un'istanza di SQL Server abilitato da Azure Arc configurata per l'autenticazione con Microsoft Entra ID. Per istruzioni con configurare un'istanza simile, vedere:
Rotazione dei certificati gestiti dal servizio
Con la rotazione dei certificati gestiti dal servizio, l'estensione Azure per SQL Server ruota i certificati.
Per consentire al servizio di gestire il certificato, aggiungere un criterio di accesso per l'entità servizio con l'autorizzazione per firmare le chiavi. Vedere Assegnare un criterio di accesso di Key Vault (legacy). L'assegnazione del criterio di accesso deve fare riferimento in modo esplicito all'entità servizio del server Arc.
Importante
Per abilitare la rotazione dei certificati gestiti dal servizio, è necessario assegnare l'autorizzazione di chiave Sign all'identità gestita del server Arc. Se questa autorizzazione non è assegnata, la rotazione del certificato gestito del servizio non è abilitata.
Per istruzioni, vedere Creare e assegnare un certificato.
Nota
Non sono necessarie autorizzazioni specifiche per consentire a un'applicazione di eseguire il rollback delle proprie chiavi. Vedere Applicazione: addKey.
Una volta individuato un nuovo certificato, questo viene caricato in automatico nella registrazione app.
Nota
Per Linux, il certificato precedente non verrà eliminato dalla registrazione app usata per Microsoft Entra ID e l'istanza di SQL Server in esecuzione nel computer Linux dovrà essere riavviata manualmente.
Rotazione dei certificati gestiti dal cliente
Per la rotazione dei certificati gestiti dal cliente:
Creare una nuova versione del certificato in Azure Key Vault.
In Azure Key Vault è possibile impostare qualsiasi percentuale per il periodo di durata del certificato.
Quando si configura un certificato con Azure Key Vault, si definiscono i relativi attributi del ciclo di vita. Ad esempio:
- Periodo di validità: alla scadenza del certificato.
- Tipo di azione durata: cosa accade quando la scadenza si avvicina, ad esempio rinnovo automatico e invio di avvisi.
Per informazioni dettagliate sulle opzioni di configurazione del certificato, vedere Aggiornare gli attributi del ciclo di vita del certificato al momento della creazione.
Scaricare il nuovo certificato in formato
.cer
e caricarlo nella registrazione app al posto del certificato precedente.
Nota
Per Linux, è necessario riavviare manualmente il servizio SQL Server affinché il nuovo certificato venga usato per l'autenticazione.
Dopo aver creato un nuovo certificato in Azure Key Vault, l'estensione Azure per SQL Server verifica ogni giorno la presenza di un nuovo certificato. Se il nuovo certificato è disponibile, l'estensione lo installa nel server ed elimina il certificato precedente.
Dopo aver installato il nuovo certificato, è possibile eliminare i certificati meno recenti dalla registrazione app, perché non verranno usati.
L'installazione di un nuovo certificato nel server può richiedere fino a 24 ore. Il tempo consigliato per eliminare il vecchio certificato dalla registrazione app è dopo 24 ore dalla creazione della nuova versione del certificato.
Se la nuova versione del certificato viene creata e installata nel server, ma non caricata nella registrazione dell'app, nel portale viene visualizzato un messaggio di errore nella risorsa SQL Server - Azure Arc in Microsoft Entra ID.
Passaggi successivi
- Collegare in automatico SQL Server ad Azure Arc
- È possibile esaminare ulteriormente gli avvisi di sicurezza e gli attacchi usando Azure Sentinel. Per informazioni dettagliate, vedere Eseguire l'onboarding di Azure Sentinel.