SQL Server bağlantıları için şifreleme
SQL Server Güvenli Yuva Katmanı (SSL) destekler ve Internet Protokolü güvenliği (IPSec) ile uyumludur.
Güvenli Yuva Katmanı (SSL)
Microsoft SQL Server Güvenli Yuva Katmanı (SSL) arasında bir ağ üzerinden aktarılan verileri şifrelemek için kullanabileceğiniz bir örnek, SQL Server ve bir istemci uygulaması. SSL şifreleme protokol katmanına içinde gerçekleştirilir ve tüm SQL Server DB Kitaplığı'nı ve MDAC 2, 53 istemcilerinin dışındaki istemciler.
SSL, istemci bağlantı isteklerinin şifreleme için sunucu doğrulaması kullanılabilir.örnek SQL Server Sertifika ortak sertifika yetkilisi, bilgisayar ve örnek kimliği atanmış bir bilgisayarda çalışıyor SQL Server için için güvenilen bir kök yetkilisi, sertifika zinciri tarafından vouched. Böyle bir sunucu doğrulaması, istemci uygulamasını çalıştıran bilgisayarda, sunucu tarafından kullanılan sertifikanın kök yetkilisine güvenmeyi yapılandırılması gerekir.Kendini imzalamış sertifika şifrelemeli olası ve durum aşağıdaki bölümde açıklanan ancak kendini imzalamış sertifika yalnızca sınırlı koruma sağlar.
SSL ile 40 bit veya 128 bit, kullanılan şifreleme düzeyini sürümüne göre değişir Microsoft Uygulama ve veritabanı bilgisayarlarda çalışan Windows işletim sistemi.
SSL etkinleştirme, şifreleme örnekleri arasında ağ üzerinden aktarılan verilerin güvenliğini artırır SQL Server ve uygulamaları. Ancak, şifreleme için etkinleştirme performansının yavaşlamasına neden.Tüm arasındaki trafiği olduğunda SQL Server ve bir istemci uygulaması, SSL kullanılarak şifrelenir, aşağıdaki ek işlem gereklidir:
Bir ek ağ gidiş dönüş, bağlantı saat gereklidir.
Uygulama örnek için gönderilen paketler SQL Server Net-Library istemcinin şifrelenmiş olmalı ve sunucu Net-Library tarafından şifresi çözülür.
Kopyasının bağlantısını gönderilen paketler SQL Server için uygulama sunucusu Net-Library tarafından şifrelenmiş olmalı ve istemci ağ kitaplığını tarafından şifresi çözülür.
SQL Server için SSL yapılandırma
Aşağıdaki yordam için SSL yapılandırma açıklar. SQL Server.
SSL yapılandırmak için
Sertifika, sunucu bilgisayarın Windows sertifika deposuna yükleyin.
' I tıklatın START, in the Microsoft SQL Server noktaya program grubuYapılandırma araçları sonra'ı tıklatınSQL Server Configuration Manager (ingilizce).
Genişletme SQL Server ağ yapılandırması, iletişim kuralları istediğiniz sunucuyu sağ tıklatın ve sonra özellikleri.
Not
This is the Protocols for<instance_name> section in the left pane of the tool, not a specific protocol in the right pane.
Üzerinde sertifika sekmesinde, yapılandırmaDatabase Engine sertifikayı kullanmak için .
Üzerinde Bayraklar sekmesini görüntüleyin veya protokol şifreleme seçeneği belirtin.Oturum açma paketi her zaman şifrelenir.
Zaman ForceEncryption seçeneğiDatabase Engine olan küme için EVET, tüm istemci/sunucu iletişimini şifrelenir ve şifreleme desteği istemcilerinin erişimi reddedilir.
Zaman ForceEncryption seçeneğiDatabase Engine ayarlamak Hayır, şifreleme, istemci uygulamanın istediği ancak gerekli değildir.
SQL Server Siz değiştirdikten sonra yeniden başlatılmalı ForceEncryption ayarı.
Credentials (in the login packet) that are transmitted when a client application connects to SQL Server are always encrypted.SQL Server will use a certificate from a trusted certification authority if available.Güvenilen bir sertifika, yüklü değilse SQL Server örnek başlatıldığında, kendiliğinden imzalı bir sertifika oluşturmak ve kendini imzalamış sertifika kimlik bilgileri şifrelemek için kullanın. Bu kendi kendini imzalayan sertifika, güvenliği artırmak yardımcı olur, ancak kimliğinin sunucu tarafından Sızdırma karşı koruma sağlamaz.Kendini imzalamış sertifika kullanılıyorsa ve değeri ForceEncryption seçeneği için ayarlandıEVET arasında bir ağ üzerinden aktarılan tüm verilerSQL Server ve istemci uygulaması kendiliğinden imzalı bir sertifika kullanılarak şifrelenir.
Uyarı
Kendini imzalamış sertifika kullanarak şifrelenmiş SSL bağlantıları için güçlü bir güvenlik sağlamaz.Bunlar, man-in--middle saldırılara açıktır.Bir üretim ortamında kendini imzalayan Sertifikalar'ı kullanarak bir SSL veya ınternet'e bağlı sunucular güvenmemelisiniz.
Sertifika gereksinimleri
Için SQL Server bir SSL sertifikası yüklemek için , sertifika aşağıdaki koşulları karşılamalıdır:
Sertifikayı yerel bilgisayar sertifika deposunda veya geçerli kullanıcının sertifika deposunu olmalıdır.
Geçerli sistem saatini sonra olmalıdır Geçerli Sertifikanın ve önce özellikIçin geçerli sertifika özellik.
Sunucu kimlik doğrulaması için sertifika yapısındaki gerekir.Bu gerektirir Gelişmiş Anahtar kullanımı belirtmek için sertifika özellikSunucu kimlik doğrulaması (1.3.6.1.5.5.7.3.1).
Sertifika kullanılarak oluşturulmalıdır KeySpec seçeneğiat_keyexchange.Genellikle, sertifika anahtarı kullanımı özellik)key_usage) anahtar şifrelemesi ( dahil edilircert_key_encipherment_key_usage).
The Subject özellik of the sertifika must indicate that the common name (CN) is the same as the host name or fully qualified etki alanı name (FQDN) of the server computer.If SQL Server üzerinde çalıştığı bir yük devretme kümesi FQDN sanal sunucunun ve sertifikaların tüm düğümlerinde sağlanan gerekir ve ortak ad, ana bilgisayar adı eşleşmelidir yük devretme kümesi.
Kümede şifreleme
Kümelenmiş yerine tam nitelikli DNS adıyla bir yük devretme kümesi ile şifreleme kullanmasını istiyorsanız, sunucu sertifikası yüklemelisiniz örnek başarısızlık kümedeki tüm düğümlerde.Örneğin, iki düğümlü bir küme düğümleriyle adlı varsa Test1. kendi şirket.com ve Test2. Şirketiniz .com ve yerine çalışma kümelenmiş örneğinin SQL Server adlı fcisql için bir sertifika edinmelisiniz.fcisql. şirket.com ve her iki düğümde de sertifika yükleyin.Şifreleme için yerine çalışma küme yapılandırmak için , sonra seçebileceğiniz ForceEncryption onay kutusuIletişim kuralları <Sunucu> özellik kutusunun SQL Server ağ yapılandırması.
Internet Protokolü güvenliği (IPSec)
SQL Server IPSec kullanarak, veri iletimi sırasında şifrelenebilir.Ipsec, istemci ve sunucu işletim sistemleri tarafından sağlanan ve yok gerektirir. SQL Server Yapılandırma. IPSec hakkında daha fazla bilgi için Windows ya da ağ belgelerine bakın.