Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje podrobnosti o protokolu TLS (Transport Layer Security) a digitálních certifikátech.
Protokol TLS (Transport Layer Security)
Protokoly TLS a SSL se nacházejí mezi vrstvou aplikačního protokolu a vrstvou TCP/IP, kde můžou zabezpečit a odesílat aplikační data do přenosové vrstvy. Protokoly TLS/SSL používají algoritmy ze šifrovací sady k vytváření klíčů a šifrování informací. Klient a server vyjednávají verzi protokolu a šifrovací sadu, které se mají použít k šifrování během počáteční fáze připojení (před přihlášením). Nejvyšší podporovaná verze protokolu TLS je vždy upřednostňovaná v metodě handshake protokolu TLS. Pokud chcete zkontrolovat verze protokolů TLS podporované různými verzemi operačních systémů Windows, přečtěte si téma Protokoly v zprostředkovateli zabezpečení TLS/SSL (Schannel SSP). V protokolu SSL a starších verzích protokolu TLS bylo hlášeno několik známých ohrožení zabezpečení. Doporučujeme upgradovat na protokol TLS 1.2 pro zabezpečenou komunikaci.
SQL Server může pomocí protokolu TLS šifrovat data přenášená přes síť mezi instancí SQL Serveru a klientskou aplikací. Protokol TLS používá k implementaci šifrování certifikát.
Povolení šifrování TLS zvyšuje zabezpečení dat přenášených mezi sítěmi mezi instancemi SQL Serveru a aplikacemi. Pokud je však veškerý provoz mezi SQL Serverem a klientskou aplikací šifrovaný pomocí protokolu TLS, vyžaduje se následující dodatečné zpracování:
- Při připojení je nutná další síťová cesta.
- Pakety odeslané z aplikace do instance SQL Serveru musí být zašifrovány zásobníkem TLS klienta a dešifrovány zásobníkem TLS serveru.
- Pakety odeslané z instance SQL Serveru do aplikace musí být zašifrovány zásobníkem TLS serveru a dešifrovány zásobníkem TLS klienta.
Důležité
Počínaje SQL Serverem 2016 (13.x) už není protokol SSL (Secure Sockets Layer). Místo toho se doporučuje použít protokol TLS (TLS 1.2). Další informace najdete v tématu Podpora protokolu TLS 1.2 pro Microsoft SQL Server. SQL Server 2022 zavádí podporu protokolu TLS 1.3. Další informace najdete v tématu Podpora protokolu TLS 1.3. Pokud mezi klientem a serverem neexistují žádné odpovídající protokoly, můžete narazit na chybu popsanou jako stávající spojení bylo násilně přerušeno vzdáleným hostitelem.
Přehled digitálního certifikátu
Digitální certifikáty jsou elektronické soubory, které fungují jako online heslo k ověření identity uživatele nebo počítače. Slouží k vytvoření šifrovaného kanálu, který se používá pro komunikaci klientů. Certifikát je digitální prohlášení, které vydává certifikační autorita (CA), která vyvolá identitu držitele certifikátu a umožňuje stranám bezpečně komunikovat pomocí šifrování.
Digitální certifikáty poskytují následující služby:
- Šifrování: Pomáhají chránit data, která se vyměňují před krádeží nebo manipulací.
- Ověřování: Ověří, že jejich držitelé (lidé, weby a dokonce i síťová zařízení, jako jsou směrovače), jsou skutečně kdo nebo co tvrdí, že jsou. Ověřování je obvykle jednosměrné, kde zdroj ověřuje identitu cíle, ale vzájemné ověřování TLS je také možné.
Certifikát obsahuje veřejný klíč a připojí tento veřejný klíč k identitě osoby, počítače nebo služby, která obsahuje odpovídající privátní klíč. Klient a server používají veřejné a privátní klíče k šifrování dat před jejich přenosem. U uživatelů, počítačů a služeb systému Windows se vztah důvěryhodnosti v certifikační autoritě vytvoří, když je kořenový certifikát definován v úložišti důvěryhodných kořenových certifikátů a certifikát obsahuje platnou cestu k certifikaci. Certifikát je považován za platný, pokud nebyl odvolán (není v seznamu odvolaných certifikátů nebo seznamu odvolaných certifikátů certifikační autority) nebo vypršela jeho platnost.
Tři primární typy digitálních certifikátů jsou popsány v následující tabulce:
| Typ | Popis | Výhody | Nevýhody |
|---|---|---|---|
| Certifikát podepsaný svým držitelem | Certifikát je podepsán aplikací, která ho vytvořila nebo je vytvořena pomocí New-SelfSignedCertificate. | Náklady (zdarma) | – Certifikát není automaticky důvěryhodný klientskými počítači a mobilními zařízeními. Certifikát je potřeba přidat ručně do důvěryhodného kořenového úložiště certifikátů na všech klientských počítačích a zařízeních, ale ne všechna mobilní zařízení umožňují změny v úložišti důvěryhodných kořenových certifikátů. – Ne všechny služby pracují s certifikáty podepsanými svým držitelem. - Obtížné vytvořit infrastrukturu pro správu životního cyklu certifikátů. Certifikáty podepsané svým držitelem se například nedají odvolat. |
| Certifikát vydaný interní certifikační autoritou | Certifikát vydává infrastruktura veřejných klíčů (PKI) ve vaší organizaci. Příkladem je Služba AD CS (Active Directory Certificate Services). Další informace naleznete v tématu Přehled služby Active Directory Certificate Services. | – Umožňuje organizacím vydávat vlastní certifikáty. – Levnější než certifikáty z komerční certifikační autority. |
– Větší složitost nasazení a údržby infrastruktury veřejných klíčů. – Certifikát není automaticky důvěryhodný klientskými počítači a mobilními zařízeními. Certifikát je potřeba přidat ručně do důvěryhodného kořenového úložiště certifikátů na všech klientských počítačích a zařízeních, ale ne všechna mobilní zařízení umožňují změny v úložišti důvěryhodných kořenových certifikátů. |
| Certifikát vydaný komerční certifikační autoritou | Certifikát je zakoupen od důvěryhodné komerční certifikační autority. | Nasazení certifikátů je zjednodušené, protože všichni klienti, zařízení a servery certifikáty automaticky důvěřují. | Náklady. Abyste minimalizovali požadovaný počet certifikátů, musíte předem naplánovat. |
Aby bylo možné prokázat, že držitel certifikátu je ten, za koho tvrdí, musí přesně identifikovat držitele certifikátu jiným klientům, zařízením nebo serverům. Tyto tři základní metody jsou popsány v následující tabulce:
| Metoda | Popis | Výhody | Nevýhody |
|---|---|---|---|
| Shoda předmětu certifikátu | Pole Předmět certifikátu obsahuje běžný název hostitele. Například certifikát vystavený pro www.contoso.com web lze použít pro web https://www.contoso.com. |
- Kompatibilní se všemi klienty, zařízeními a službami. -Rozčlenění. Odvolání certifikátu pro hostitele nemá vliv na ostatní hostitele. |
- Počet požadovaných certifikátů. Certifikát můžete použít pouze pro zadaného hostitele. Například nemůžete použít certifikát www.contoso.com pro ftp.contoso.com, a to ani když jsou služby nainstalované na stejném serveru.-Komplexnost. Každý certifikát na webovém serveru vyžaduje vlastní vazbu IP adres. |
| Shoda alternativního názvu subjektu certifikátu (SAN) | Kromě pole Předmět obsahuje pole Alternativní název subjektu certifikátu seznam více názvů hostitelů. Například:www.contoso.comftp.contoso.comftp.eu.fabrikam.net |
-Pohodlí. Stejný certifikát můžete použít pro více hostitelů v několika samostatných doménách. – Většina klientů, zařízení a služeb podporuje certifikáty SAN. - Auditování a zabezpečení. Přesně víte, kteří hostitelé mohou používat certifikát SAN. |
- Vyžaduje se více plánování. Při vytváření certifikátu musíte zadat seznam hostitelů. - Nedostatek oddělení. U některých zadaných hostitelů nemůžete selektivně odvolat certifikáty, aniž by to ovlivnilo všechny hostitele v certifikátu. |
| Shoda certifikátu se zástupným znakem | Pole Předmět certifikátu obsahuje běžný název jako zástupný znak (*) a jednu doménu nebo subdoménu. Například *.contoso.com nebo *.eu.contoso.com. Certifikát *.contoso.com se zástupným znakem lze použít pro:www.contoso.comftp.contoso.commail.contoso.com |
Flexibilita Při vyžádání certifikátu nemusíte zadávat seznam hostitelů a certifikát můžete použít u libovolného počtu hostitelů, které budete potřebovat v budoucnu. | Nemůžete použít certifikáty se zástupnými znaky s jinými doménami nejvyšší úrovně (TLD). Nemůžete například použít certifikát se zástupným znakem *.contoso.com pro *.contoso.net hostitele.– Pro názvy hostitelů na úrovni, kde se používá zástupný znak, můžete použít pouze hvězdičkové certifikáty. Nemůžete například použít *.contoso.com certifikát pro www.eu.contoso.com. Nebo nemůžete použít *.eu.contoso.com certifikát pro www.uk.eu.contoso.com.– Starší klienti, zařízení, aplikace nebo služby nemusí podporovat certifikáty se zástupnými znaky. – Zástupné cardy nejsou k dispozici s certifikáty rozšířeného ověřování (EV). - Vyžaduje se pečlivé auditování a řízení. Pokud dojde k ohrožení zabezpečení certifikátu se zástupným znakem, ovlivní to každého hostitele v zadané doméně. |