輪換憑證

適用於：SQL Server

在透過 Azure Arc 啟用的 SQL Server 上，適用於 SQL Server 的 Azure 延伸模組可以針對服務受控憑證自動輪替 Microsoft Entra ID 的憑證。 對於客戶管理的憑證，您可以遵循下列步驟來輪替用於 Microsoft Entra ID 的憑證。

注意

Microsoft Entra ID 先前稱為 Azure Active Directory (Azure AD)。

本文說明自動憑證輪替和客戶管理的憑證輪替如何運作，並確定 Windows 和 Linux 作業系統的流程細節。

您可以啟用下列其中一項：

• 服務受控憑證輪替

  或

• 客戶管理的憑證輪替

Azure Key Vault 會自動為您輪替憑證。 金鑰保存庫預設會在憑證存留期達到 80% 後輪替憑證。 您可以進行此設定。 如需指示，請檢閱在金鑰保存庫中設定憑證自動輪替。 如果憑證已過期，自動輪替會失敗。

先決條件

本文所述的功能適用於透過 Azure Arc 啟用的 SQL Server 執行個體，該執行個體已設定為使用 Microsoft Entra ID 進行驗證 如需設定這類執行個體的指示，請參閱：

• 適用於 SQL Server 的 Microsoft Entra ID 驗證

服務受控憑證輪替

使用服務受控憑證輪替，適用於 SQL Server 的 Azure 延伸模組會輪替憑證。

要允許服務管理憑證，請為具有簽署金鑰權限的服務主體新增存取原則。 請參閱指派金鑰保存庫存取原則 (舊版)。 存取原則指派需要明確參考 Arc 伺服器的服務主體。

重要

要啟用服務管理憑證輪替，必須將金鑰權限簽署指派給 Arc 伺服器受控識別。 如果未指派此權限，則不會啟用服務受控憑證輪替。

如需指示，請參閱建立和指派憑證。

注意

應用程式不需要特定的許可權才能復原自己的金鑰。 請參閱 應用程式：addKey。

探索新的憑證之後，就會自動上傳至應用程式註冊。

注意

對於 Linux，舊憑證將不會從用於 Microsoft Entra ID 的應用程式註冊中刪除，並且需要手動重新啟動在 Linux 電腦上執行的 SQL Server。

客戶管理的憑證輪替

對於客戶管理的憑證輪替：

1. 在 Azure Key Vault 中建立新版本的憑證。

   在 Azure Key Vault 中，您可以設定憑證存留期的任何百分比。

   當您使用 Azure Key Vault 設定憑證時，會定義其生命週期屬性。 例如：

   • 有效期間 - 在憑證到期時。
   • 存留期動作類型 - 臨近到期時會發生什麼情況，包括：自動續訂和警示。

   如需憑證組態選項的詳細資訊，請參閱在建立時更新憑證生命週期屬性。

2. 以 .cer 格式下載新的憑證，並將其上傳至應用程式註冊，以取代舊的憑證。

注意

對於 Linux，您需要手動重新啟動 SQL Server 服務，以便使用新的憑證進行驗證。

在 Azure Key Vault 中建立新的憑證之後，SQL Server 的 Azure 延伸模組會每天檢查是否有新的憑證。 如果新的憑證可用，延伸模組會在伺服器上安裝新的憑證，並刪除舊的憑證。

安裝新憑證之後，您可以從應用程式註冊中刪除不會被使用的較舊憑證。

在伺服器上安裝新憑證最多可能需要 24 小時。 從應用程式註冊中刪除舊憑證的建議時間是您建立新版憑證的 24 小時之後。

如果在伺服器上建立並安裝新版本的憑證，但未上傳至應用程式註冊，入口網站會在 Microsoft Entra ID 下的 SQL Server - Azure Arc 資源上顯示錯誤訊息。

下一步

• 自動將 SQL Server 連線到 Azure Arc
• 您可以使用 Azure Sentinel，進一步調查安全性警示和攻擊。 如需詳細資訊，請參閱使 Azure Sentinel 上線。