인증서 회전

적용 대상:SQL Server

Azure Arc 지원 SQL Server에서 SQL Server용 Azure 확장은 서비스 관리 인증서에 대한 Microsoft Entra ID에 대한 인증서를 자동으로 회전할 수 있습니다. 고객 관리 인증서의 경우 단계에 따라 Microsoft Entra ID에 사용하는 인증서를 회전할 수 있습니다.

참고 항목

Microsoft Entra ID는 이전의 Azure AD(Azure Active Directory)입니다.

이 문서에서는 자동 인증서 회전 및 고객 관리 인증서 회전의 작동 방식을 설명하고 Windows 및 Linux 운영 체제에 대한 프로세스 세부 사항을 식별합니다.

다음 중 하나를 사용하도록 설정할 수 있습니다.

• 서비스 관리 인증서 회전

  또는

• 고객 관리 인증서 회전

Azure Key Vault는 자동으로 인증서를 회전합니다. Key Vault는 기본적으로 인증서 수명이 80%가 된 이후에 인증서를 회전합니다. 이 설정을 구성할 수 있습니다. 지침은 Key Vault에서 인증서 자동 회전 구성을 검토하세요. 인증서가 만료되면 자동 회전이 실패합니다.

전제 조건

이 문서에 설명된 기능은 Microsoft Entra ID를 사용하여 인증하도록 구성된 Azure Arc 지원 SQL Server 인스턴스에 적용됩니다. 이러한 인스턴스를 구성하는 지침은 다음을 참조하세요.

• SQL Server의 Microsoft Entra ID 인증

서비스 관리 인증서 회전

서비스 관리 인증서 회전을 사용하면 SQL Server용 Azure 확장에서 인증서를 회전합니다.

서비스에서 인증서를 관리하도록 하려면 키에 서명할 권한이 있는 서비스 주체의 액세스 정책을 추가합니다. Key Vault 액세스 정책 할당(레거시)를 참조하세요. 액세스 정책 할당은 Arc Server의 서비스 주체를 명시적으로 참조해야 합니다.

Important

서비스 관리 인증서 회전을 사용하도록 설정하려면 Arc Server 관리 ID에 키 권한 Sign을 할당해야 합니다. 이 권한이 할당되지 않은 경우 서비스 관리 인증서 회전을 사용할 수 없습니다.

지침은 인증서 만들기 및 할당을 참조하세요.

한 번 새 인증서가 검색되면 앱 등록에 자동으로 업로드됩니다.

참고 항목

Linux의 경우 Microsoft Entra ID에 사용되는 앱 등록에서 이전 인증서가 삭제되지 않으며 Linux 컴퓨터에서 실행하는 SQL Server를 수동으로 다시 시작해야 합니다.

고객 관리 인증서 회전

고객 관리형 인증서 회전의 경우:

1. Azure Key Vault에서 새 버전의 인증서를 만듭니다.

   Azure Key Vault에서 인증서 수명 기간에 대한 백분율을 설정할 수 있습니다.

   Azure Key Vault를 사용하여 인증서를 구성할 때 해당 수명 주기 특성을 정의합니다. 예시:

   • 유효 기간 - 인증서가 만료되는 때
   • 수명 작업 유형 - 자동 갱신 및 경고를 포함하여 만료가 다가오면 발생하는 작업입니다.

   인증서 구성 옵션에 대한 자세한 내용은 생성 시 인증서 수명 주기 특성 업데이트를 참조하세요.

2. 새 인증서를 .cer 형식으로 다운로드하고 이전 인증서 대신 앱 등록에 업로드합니다.

참고 항목

Linux의 경우 새 인증서가 인증에 사용되도록 SQL Server 서비스를 수동으로 다시 시작해야 합니다.

한 번 Azure Key Vault에 새 인증서가 만들어지면 SQL Server용 Azure 확장은 매일 새 인증서에 대해 검사합니다. 새 인증서를 사용할 수 있는 경우 확장은 서버에 새 인증서를 설치하고 이전 인증서를 삭제합니다.

새 인증서를 설치한 후에는 이전 인증서를 사용하지 않으므로 이전 인증서를 앱 등록에서 삭제할 수 있습니다.

서버에 새 인증서를 설치하는 데 최대 24시간이 걸릴 수 있습니다. 앱 등록에서 이전 인증서를 삭제하는 데 권장되는 시간은 새 버전의 인증서를 만든 시간으로부터 24시간 후입니다.

새 버전의 인증서가 만들어지고 서버에 설치되었지만 앱 등록에 업로드되지 않은 경우 포털은 Microsoft Entra ID 아래의 SQL Server - Azure Arc 리소스에 오류 메시지를 표시합니다.

다음 단계

• Azure Arc에 SQL Server 자동 연결
• Azure Sentinel을 사용하여 보안 경고 및 공격을 자세히 조사할 수 있습니다. 자세한 내용은 Azure Sentinel 온보딩을 참조하세요.