轮换证书
适用范围:SQL Server
在已启用 Azure Arc 的 SQL Server 上,适用于 SQL Server 的 Azure 扩展可为服务托管证书自动轮换 Microsoft Entra ID 的证书。 对于客户托管证书,你可以按照步骤轮换用于 Microsoft Entra ID 的证书。
注意
Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。
本文介绍自动证书轮换和客户托管证书轮换的工作原理,并确定了 Windows 和 Linux 操作系统的流程细节。
可以启用以下任一项:
Azure Key Vault 会自动为你轮换证书。 默认情况下,密钥保管库会在证书生存期达到 80% 之后轮换证书。 你可以配置此设置。 有关说明,请查看在 Key Vault 中配置证书自动轮换。 如果证书已过期,则自动轮换会失败。
先决条件
本文所述的功能适用于为使用 Microsoft Entra ID 进行身份验证而配置的已启用 Azure Arc 的 SQL Server 实例。 有关配置此类实例的说明,请参阅:
服务托管证书轮换
通过服务托管证书轮换,适用于 SQL Server 的 Azure 扩展会轮换证书。
要允许服务管理证书,请为具有签名密钥权限的服务主体添加访问策略。 请参阅分配 Key Vault 访问策略(旧版)。 访问策略分配需要显式引用 Arc 服务器的服务主体。
重要
要启用服务托管证书轮换,必须分配密钥权限“Sign”给 Arc 服务器托管标识。 如果未分配此权限,则不会启用服务托管证书轮换。
有关说明,请参阅创建并分配证书。
注意
应用程序不需要特定的权限来滚动其自己的密钥。 请参阅 应用程序:addKey。
发现新证书后,系统会自动将其上传到应用注册。
注意
对于 Linux,旧证书不会从用于 Microsoft Entra ID 的应用注册中删除,且需要手动重启在 Linux 计算机上运行的 SQL Server。
客户托管证书轮换
对于客户托管证书轮换:
在 Azure Key Vault 中创建新版本的证书。
在 Azure Key Vault 中,你可以为证书生存期设置任何百分比。
使用 Azure Key Vault 配置证书时,你可以定义其生命周期属性。 例如:
- 有效期 - 证书过期的时间。
- 生存期操作类型 - 临近过期时会发生什么,包括:自动续订和警报。
有关证书配置选项的详细信息,请参阅在创建时更新证书生命周期属性。
以
.cer
格式下载新证书,并将其上传到应用注册,以代替旧证书。
注意
对于 Linux,你需要手动重启 SQL Server 服务,以便使用新证书进行身份验证。
在 Azure Key Vault 中创建新证书后,适用于 SQL Server 的 Azure 扩展每天都会检查新证书。 如果新证书可用,则扩展会在服务器上安装新证书,同时删除旧证书。
在安装新证书后,你可以从应用注册中删除较旧的证书,因为系统不会使用旧证书。
可能需要长达 24 小时才能在服务器上安装新的证书。 从应用注册中删除旧证书的建议时间是在创建新版本的证书 24 小时后。
如果在服务器上创建并安装了新版本的证书,但未上传到应用注册,则门户会在 Microsoft Entra ID 下的 SQL Server - Azure Arc 资源上显示错误消息。
后续步骤
- 将 SQL Server 自动连接到 Azure Arc
- 可以使用 Azure Sentinel 进一步调查安全警报和攻击。 有关详细信息,请参阅加入 Azure Sentinel。