Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Область применения:
SQL Server
В SQL Server, включенном Azure Arc, расширение Azure для SQL Server может автоматически сменить сертификаты для идентификатора Microsoft Entra для управляемых сертификатов службы и регистрации управляемых служб приложений. Для управляемых клиентом сертификатов и регистрации управляемых клиентом приложений можно выполнить шаги по смене сертификата, используемого для идентификатора Microsoft Entra.
Примечание.
Microsoft Entra ID ранее назывался Azure Active Directory (Azure AD).
В этой статье объясняется, как работает автоматическая смена сертификатов и смена управляемых клиентом сертификатов и определяет особенности процесса для операционных систем Windows и Linux.
Можно включить любой из следующих вариантов:
Azure Key Vault автоматически обновляет сертификат для вас. Хранилище ключей по умолчанию обновляет сертификаты, когда истекает 80 % срока действия сертификата. Этот параметр можно настроить. Для получения инструкций ознакомьтесь с Настройка автоматического обновления сертификата в Key Vault. Если срок действия сертификата истек, автоматический поворот завершается ошибкой.
Предварительные требования
Функциональные возможности, описанные в этой статье, применяются к экземпляру SQL Server, подключенному к Azure Arc и настроенному для проверки подлинности с использованием Microsoft Entra ID. Инструкции по настройке такого экземпляра см. в следующей статье:
Ротация сертификатов, управляемых службой
При управляемой службой ротации сертификатов расширение Azure для SQL Server обновляет сертификаты.
Внимание
Чтобы включить смену сертификатов, управляемых службой, необходимо настроить как управляемый службой сертификат, так и регистрацию приложения. Без этой конфигурации автоматическая смена не происходит.
Чтобы разрешить службе управлять сертификатом, добавьте политику доступа для субъекта-службы с разрешением на подписание ключей. См. "Назначение политики доступа Key Vault (устаревшая)". Назначение политики доступа должно явно ссылаться на субъект-службу сервера Arc.
Внимание
Чтобы включить ротацию управляемых сертификатов службы, необходимо назначить разрешение Sign ключа управляемому удостоверению сервера Arc. Если это разрешение не назначено, поворот управляемого сертификата службы не включен.
Инструкции см. в разделе "Создание и назначение сертификата".
Примечание.
Для генерации собственных ключей приложение не требует особых разрешений. См. Приложение: addKey.
После обнаружения нового сертификата он автоматически отправляется в регистрацию приложения.
Примечание.
Для Linux старый сертификат не будет удален из регистрации приложения, используемого для идентификатора Microsoft Entra, и SQL Server, запущенный на компьютере Linux, потребуется перезапустить вручную.
Смена управляемых клиентом сертификатов
Для смены управляемых клиентом сертификатов:
Создайте новую версию сертификата в Azure Key Vault.
В Azure Key Vault можно задать любой процент за период существования сертификата.
При настройке сертификата с помощью Azure Key Vault необходимо определить его атрибуты жизненного цикла. Например:
- Срок действия — дата истечения действия сертификата.
- Тип действия «лайфтайм» — то, что происходит при приближении истечения срока действия, включая автоматическое продление и уведомление.
Дополнительные сведения о параметрах конфигурации сертификата см. в разделе "Обновление атрибутов жизненного цикла сертификата" во время создания.
Скачайте новый сертификат в
.cerформате и отправьте его в регистрацию приложения вместо старого сертификата.
Примечание.
Для Linux необходимо перезапустить службу SQL Server вручную, чтобы новый сертификат использовался для проверки подлинности.
После создания нового сертификата в Azure Key Vault расширение Azure для SQL Server проверяет наличие нового сертификата ежедневно. Если новый сертификат доступен, расширение устанавливает новый сертификат на сервере и удаляет старый сертификат.
После установки нового сертификата можно удалить старые сертификаты из регистрации приложения, так как они не будут использоваться.
Для установки нового сертификата на сервере может потребоваться до 24 часов. Рекомендуемое время удаления старого сертификата из регистрации приложения — через 24 часа с момента создания новой версии сертификата.
Если новая версия сертификата создана и установлена на сервере, но не загружена в регистрацию приложения, на портале отображается сообщение об ошибке на ресурсе SQL Server — Ресурс Azure Arc в идентификаторе Microsoft Entra.