Ruotare i certificati
Si applica a:
SQL Server
In SQL Server abilitato da Azure Arc, l'estensione di Azure per SQL Server può ruotare automaticamente i certificati per Microsoft Entra ID per i certificati gestiti dal servizio. Per i certificati gestiti dal cliente, è possibile seguire la procedura per ruotare il certificato usato per Microsoft Entra ID.
Nota
Microsoft Entra ID era precedentemente noto come Azure Active Directory (Azure AD).
Questo articolo illustra il funzionamento della rotazione automatica dei certificati e la rotazione automatica dei certificati gestiti dal cliente e identifica le specifiche del processo per i sistemi operativi Windows e Linux.
È possibile abilitare una delle due operazioni seguenti:
Azure Key Vault ruota automaticamente il certificato. L'insieme di credenziali delle chiavi ruota i certificati per impostazione predefinita, dopo che la durata del certificato è pari all'80%. È possibile configurare questa impostazione. Per istruzioni, vedere Configurare la rotazione automatica dei certificati in Key Vault. Se il certificato è scaduto, la rotazione automatica ha esito negativo.
Prerequisito
La funzionalità descritta in questo articolo si applica a un'istanza di SQL Server abilitata da Azure Arc configurata per l'autenticazione con Microsoft Entra ID. Per istruzioni su come configurare un'istanza di questo tipo, vedere:
Rotazione dei certificati gestiti dal servizio
Con la rotazione dei certificati gestiti dal servizio, l'estensione di Azure per SQL Server ruota i certificati.
Per consentire al servizio di gestire il certificato, aggiungere un criterio di accesso per l'entità servizio con l'autorizzazione per firmare le chiavi. Vedere Assegnare un criterio di accesso di Key Vault (legacy).See Assign a Key Vault access policy (legacy). L'assegnazione dei criteri di accesso deve fare riferimento in modo esplicito all'entità servizio del server Arc.
Importante
Per abilitare la rotazione dei certificati gestiti dal servizio, è necessario assegnare l'autorizzazione chiave Sign all'identità gestita del server Arc. Se questa autorizzazione non è assegnata, la rotazione del certificato gestito del servizio non è abilitata.
Per istruzioni, vedere Creare e assegnare un certificato.
Una volta individuato un nuovo certificato, viene caricato automaticamente nella registrazione dell'app.
Nota
Per Linux, il certificato precedente non verrà eliminato dalla registrazione dell'app usata per Microsoft Entra ID e SQL Server in esecuzione nel computer Linux dovrà essere riavviato manualmente.
Rotazione dei certificati gestiti dal cliente
Per la rotazione dei certificati gestiti dal cliente:
Creare una nuova versione del certificato in Azure Key Vault.
In Azure Key Vault è possibile impostare qualsiasi percentuale per il periodo di durata del certificato.
Quando si configura un certificato con Azure Key Vault, si definiscono i relativi attributi del ciclo di vita. Ad esempio:
- Periodo di validità: alla scadenza del certificato.
- Tipo di azione durata: cosa accade quando la scadenza si avvicina, tra cui il rinnovo automatico e l'invio di avvisi.
Per informazioni dettagliate sulle opzioni di configurazione del certificato, vedere Aggiornare gli attributi del ciclo di vita del certificato al momento della creazione.
Scaricare il nuovo certificato in
.cerformato e caricarlo nella registrazione dell'app al posto del certificato precedente.
Nota
Per Linux, è necessario riavviare manualmente il servizio SQL Server in modo che il nuovo certificato venga usato per l'autenticazione.
Dopo aver creato un nuovo certificato in Azure Key Vault, l'estensione di Azure per SQL Server verifica ogni giorno la presenza di un nuovo certificato. Se il nuovo certificato è disponibile, l'estensione installa il nuovo certificato nel server ed elimina il certificato precedente.
Dopo aver installato il nuovo certificato, è possibile eliminare i certificati meno recenti dalla registrazione dell'app perché non verranno usati.
L'installazione di un nuovo certificato nel server può richiedere fino a 24 ore. Il tempo consigliato per eliminare il vecchio certificato dalla registrazione dell'app è dopo 24 ore dal momento in cui si crea la nuova versione del certificato.
Se la nuova versione del certificato viene creata e installata nel server, ma non caricata nella registrazione dell'app, nel portale viene visualizzato un messaggio di errore nella risorsa SQL Server - Azure Arc in Microsoft Entra ID.
Passaggi successivi
- Connettere automaticamente SQL Server ad Azure Arc
- È possibile esaminare ulteriormente gli avvisi di sicurezza e gli attacchi usando Azure Sentinel. Per informazioni dettagliate, vedere Azure Sentinel a bordo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per