轮换证书

适用于：SQL Server

在已启用 Azure Arc 的 SQL Server 上，适用于 SQL Server 的 Azure 扩展可为服务托管证书自动轮换 Microsoft Entra ID 的证书。 对于客户托管证书，你可以按照步骤轮换用于 Microsoft Entra ID 的证书。

注意

Microsoft Entra ID 以前称为 Azure Active Directory (Azure AD)。

本文介绍自动证书轮换和客户托管证书轮换的工作原理，并确定了 Windows 和 Linux 操作系统的流程细节。

可以启用以下任一项：

• 服务托管证书轮换

  或

• 客户托管证书轮换

Azure Key Vault 会自动为你轮换证书。 默认情况下，密钥保管库会在证书生存期达到 80% 之后轮换证书。 你可以配置此设置。 有关说明，请查看在 Key Vault 中配置证书自动轮换。 如果证书已过期，则自动轮换会失败。

先决条件

本文所述的功能适用于为使用 Microsoft Entra ID 进行身份验证而配置的已启用 Azure Arc 的 SQL Server 实例。 有关配置此类实例的说明，请参阅：

• SQL Server 的 Microsoft Entra ID 身份验证

服务托管证书轮换

通过服务托管证书轮换，适用于 SQL Server 的 Azure 扩展会轮换证书。

要允许服务管理证书，请为具有签名密钥权限的服务主体添加访问策略。 请参阅分配 Key Vault 访问策略（旧版）。 访问策略分配需要显式引用 Arc 服务器的服务主体。

重要

要启用服务托管证书轮换，必须分配密钥权限“Sign”给 Arc 服务器托管标识。 如果未分配此权限，则不会启用服务托管证书轮换。

有关说明，请参阅创建并分配证书。

发现新证书后，系统会自动将其上传到应用注册。

注意

对于 Linux，旧证书不会从用于 Microsoft Entra ID 的应用注册中删除，且需要手动重启在 Linux 计算机上运行的 SQL Server。

客户托管证书轮换

对于客户托管证书轮换：

1. 在 Azure Key Vault 中创建新版本的证书。

   在 Azure Key Vault 中，你可以为证书生存期设置任何百分比。

   使用 Azure Key Vault 配置证书时，你可以定义其生命周期属性。 例如：

   • 有效期 - 证书过期的时间。
   • 生存期操作类型 - 临近过期时会发生什么，包括：自动续订和警报。

   有关证书配置选项的详细信息，请参阅在创建时更新证书生命周期属性。

2. 以 .cer 格式下载新证书，并将其上传到应用注册，以代替旧证书。

注意

对于 Linux，你需要手动重启 SQL Server 服务，以便使用新证书进行身份验证。

在 Azure Key Vault 中创建新证书后，适用于 SQL Server 的 Azure 扩展每天都会检查新证书。 如果新证书可用，则扩展会在服务器上安装新证书，同时删除旧证书。

在安装新证书后，你可以从应用注册中删除较旧的证书，因为系统不会使用旧证书。

可能需要长达 24 小时才能在服务器上安装新的证书。 从应用注册中删除旧证书的建议时间是在创建新版本的证书 24 小时后。

如果在服务器上创建并安装了新版本的证书，但未上传到应用注册，则门户会在 Microsoft Entra ID 下的 SQL Server - Azure Arc 资源上显示错误消息。

后续步骤

• 将 SQL Server 自动连接到 Azure Arc
• 可以使用 Azure Sentinel 进一步调查安全警报和攻击。 有关详细信息，请参阅加入 Azure Sentinel。