Girar certificados

Aplica-se: SQL Server

No SQL Server habilitado pelo Azure Arc, a extensão do Azure para SQL Server pode fazer a rotação certificados automaticamente para a ID do Microsoft Entra para certificados gerenciados de serviço. Para certificados gerenciados pelo cliente, você pode seguir as etapas para girar o certificado usado para a ID do Microsoft Entra.

Observação

O Microsoft Entra ID era conhecido como Azure Active Directory (Azure AD).

Este artigo explica como a rotação automática de certificados e a rotação de certificados gerenciados pelo cliente funcionam e identifica as especificidades do processo para sistemas operacionais Windows e Linux.

Você pode habilitar:

O Azure Key Vault faz a rotação automática do certificado para você. O Key Vault fará a rotação de certificados por padrão, depois que o tempo de vida do certificado estiver em 80%. Você pode definir essa configuração. Para obter instruções, consulte Configurar a rotação automática de certificados no Key Vault. Se o certificado tiver expirado, a rotação automática falhará.

Pré-requisito

A funcionalidade descrita neste artigo se aplica a uma instância do SQL Server habilitado pelo Azure Arc configurada para autenticação com a ID do Microsoft Entra. Para obter instruções sobre como configurar essa instância, consulte:

Rotação de certificado gerenciado pelo serviço

Com a rotação de certificados gerenciados pelo serviço, a Extensão do Azure para SQL Server gira os certificados.

Para permitir que o serviço gerencie o certificado, adicione uma política de acesso para a entidade de serviço com permissão para assinar chaves. Consulte Atribuir uma política de acesso do Key Vault (herdado). A atribuição da política de acesso precisa fazer referência explícita à entidade de serviço do servidor Arc.

Importante

Para habilitar a rotação de certificado gerenciado pelo serviço, você deve atribuir a permissão de chave Sign à identidade gerenciada do servidor Arc. Se essa permissão não for atribuída, a rotação de certificado gerenciado pelo serviço não será habilitada.

Para obter instruções, consulte Criar e atribuir um certificado.

Observação

Não há permissões específicas necessárias para um aplicativo rolar suas próprias chaves. Consulte o Aplicativo: addKey.

Assim que um novo certificado é descoberto, ele é carregado para o registro do aplicativo automaticamente.

Observação

Para Linux, o certificado antigo não será excluído do registro do aplicativo usado para o Microsoft Entra ID, e o SQL Server em execução no computador Linux precisará ser reiniciado manualmente.

Rotação de certificados gerenciados pelo cliente

Para rotação de certificados gerenciados pelo cliente:

  1. Crie uma nova versão do certificado no Azure Key Vault.

    No Azure Key Vault, você pode definir qualquer porcentagem para o tempo de vida do certificado.

    Ao configurar um certificado com o Azure Key Vault, você define os atributos de ciclo de vida desse certificado. Por exemplo:

    • Período de validade: quando o certificado expira.
    • Tipo de ação do tempo de vida: o que acontece quando a expiração se aproxima, incluindo renovação automática e alerta.

    Para obter detalhes sobre as opções de configuração de certificado, consulte Atualizar atributos do ciclo de vida do certificado no momento da criação.

  2. Baixe o novo certificado no formato .cer e carregue-o no registro do aplicativo no lugar do certificado antigo.

Observação

Para Linux, você precisa reiniciar o serviço SQL Server manualmente para que o novo certificado seja usado para autenticação.

Depois que um novo certificado é criado no Azure Key Vault, a extensão do Azure para SQL Server verifica se há um novo certificado diariamente. Se um novo certificado estiver disponível, a extensão instalará o novo certificado no servidor e excluirá o certificado antigo.

Depois que o novo certificado for instalado, você poderá excluir certificados mais antigos do registro do aplicativo, pois eles não serão usados.

Pode levar até 24 horas para que um novo certificado seja instalado no servidor. O tempo recomendado para excluir o certificado antigo do registro do aplicativo é após 24 horas a partir do momento em que você cria a nova versão do certificado.

Se a nova versão do certificado for criada e instalada no servidor, mas não carregada no registro de aplicativo, o portal exibirá uma mensagem de erro no recurso SQL Server - Azure Arc na ID do Microsoft Entra.

Próximas etapas