Alternar certificados

Aplica-se a:SQL Server

No SQL Server habilitado pelo Azure Arc, a extensão do Azure para SQL Server pode girar automaticamente certificados para ID do Microsoft Entra para certificados gerenciados de serviço e registro de aplicativo gerenciado de serviço. Para certificados gerenciados pelo cliente e registro de aplicativo gerenciado pelo cliente, você pode seguir as etapas para alternar o certificado usado para o ID do Microsoft Entra.

Este artigo explica como funciona a rotação automática de certificados e a rotação de certificados gerenciados pelo cliente e identifica as especificidades do processo para sistemas operacionais Windows e Linux.

Você pode ativar:

• de rotação de certificados gerenciados pelo Service

  ou

• Rotação de certificados geridos pelo cliente

O Azure Key Vault gira automaticamente o certificado para você. O cofre de chaves roda certificados automaticamente, após o tempo de vida do certificado atingir 80%. Você pode definir essa configuração. Para obter instruções, consulte Configurar a rotação automática do certificado no Azure Key Vault. Se o certificado tiver expirado, a rotação automática falhará.

Pré-requisito

A funcionalidade descrita neste artigo se aplica a uma instância do SQL Server habilitada pelo Azure Arc configurada para autenticação com ID do Microsoft Entra. Para obter instruções para configurar essa instância, consulte:

• Autenticação do Microsoft Entra para SQL Server

Rotação de certificados gerenciados pelo serviço

Com a rotação de certificados gerenciados pelo serviço, a Extensão do Azure para SQL Server gira os certificados.

Para permitir que o serviço gerencie o certificado, adicione uma política de acesso para a entidade de serviço com permissão para assinar chaves. Ver Atribuir uma política de acesso ao Cofre de Chaves (legado). A atribuição da política de acesso precisa fazer referência explícita ao principal de serviço do servidor Arc.

Para obter instruções, consulte Criar e atribuir um certificado.

Assim que um novo certificado é descoberto, ele é carregado para o registro do aplicativo automaticamente.

Rotação de certificados gerenciados pelo cliente

Para rotação de certificados gerenciados pelo cliente:

1. Crie uma nova versão do certificado no Cofre da Chave do Azure.

   No Cofre da Chave do Azure, você pode definir qualquer porcentagem para o período de vida útil do certificado.

   Ao configurar um certificado com o Azure Key Vault, você define seus atributos de ciclo de vida. Por exemplo:

   • Período de validade - quando o certificado expira.
   • Tipo de ação vitalícia - o que acontece quando a expiração se aproxima, incluindo: renovação automática e alerta.

   Para obter detalhes sobre as opções de configuração do certificado, consulte Atualizar atributos do ciclo de vida do certificado no momento da criação.

2. Transfira o novo certificado em formato .cer e carregue-o para o registo da aplicação em vez do certificado antigo.

Depois que um novo certificado é criado no Cofre da Chave do Azure, a extensão do Azure para SQL Server verifica se há um novo certificado diariamente. Se o novo certificado estiver disponível, a extensão instalará o novo certificado no servidor e excluirá o certificado antigo.

Depois que o novo certificado for instalado, você poderá excluir certificados mais antigos do registro do aplicativo porque eles não serão usados.

Pode levar até 24 horas para que um novo certificado seja instalado no servidor. O tempo recomendado para excluir o certificado antigo do registro do aplicativo é após 24 horas a partir do momento em que você cria a nova versão do certificado.

Se a nova versão do certificado for criada e instalada no servidor, mas não for carregada para o registo de aplicações, o portal exibe uma mensagem de erro no recurso SQL Server - Azure Arc em Microsoft Entra ID.

Conteúdo relacionado

• Opções de implantação do SQL Server habilitadas pelo Azure Arc
• Azure Sentinel
• Azure Sentinel integrado