Sdílet prostřednictvím

Konfigurace zabezpečení rozdělené sloučení

  • Článek

Platí pro: Azure SQL Database

Chcete-li použít službu Split/Merge, musíte správně nakonfigurovat zabezpečení. Tato služba je součástí funkce elastického škálování služby Azure SQL Database. Další informace naleznete v tématu Kurz služby Elastic Scale Split and Merge Service.

Konfigurace certifikátů

Certifikáty se konfigurují dvěma způsoby.

  1. Konfigurace certifikátu TLS/SSL
  2. Konfigurace klientských certifikátů

Získání certifikátů

Certifikáty lze získat od veřejných certifikačních autorit (CA) nebo z certifikační služby systému Windows. Jedná se o upřednostňované metody získání certifikátů.

Pokud tyto možnosti nejsou k dispozici, můžete vygenerovat certifikáty podepsané svým držitelem.

Nástroje pro generování certifikátů

Spuštění nástrojů

Konfigurace certifikátu TLS/SSL

K šifrování komunikace a ověření serveru se vyžaduje certifikát TLS/SSL. Zvolte nejvhodnější ze tří níže uvedených scénářů a proveďte všechny kroky:

Vytvoření nového certifikátu podepsaného svým držitelem

  1. Vytvoření certifikátu podepsaného svým držitelem
  2. Vytvoření souboru PFX pro certifikát TLS/SSL podepsaný svým držitelem
  3. Nahrání certifikátu TLS/SSL do cloudové služby
  4. Aktualizace certifikátu TLS/SSL v konfiguračním souboru služby
  5. Import certifikační autority TLS/SSL

Použití existujícího certifikátu z úložiště certifikátů

  1. Export certifikátu TLS/SSL z úložiště certifikátů
  2. Nahrání certifikátu TLS/SSL do cloudové služby
  3. Aktualizace certifikátu TLS/SSL v konfiguračním souboru služby

Použití existujícího certifikátu v souboru PFX

  1. Nahrání certifikátu TLS/SSL do cloudové služby
  2. Aktualizace certifikátu TLS/SSL v konfiguračním souboru služby

Konfigurace klientských certifikátů

K ověření požadavků na službu se vyžadují klientské certifikáty. Zvolte nejvhodnější ze tří níže uvedených scénářů a proveďte všechny kroky:

Vypnutí klientských certifikátů

  1. Vypnutí ověřování na základě klientského certifikátu

Vydávání nových klientských certifikátů podepsaných svým držitelem

  1. Vytvoření certifikační autority podepsané svým držitelem
  2. Nahrání certifikátu certifikační autority do cloudové služby
  3. Aktualizace certifikátu certifikační autority v konfiguračním souboru služby
  4. Vydávání klientských certifikátů
  5. Vytvoření souborů PFX pro klientské certifikáty
  6. Import klientského certifikátu
  7. Kopírování kryptografických otisků klientského certifikátu
  8. Konfigurace povolených klientů v konfiguračním souboru služby

Použití existujících klientských certifikátů

  1. Vyhledání veřejného klíče certifikační autority
  2. Nahrání certifikátu certifikační autority do cloudové služby
  3. Aktualizace certifikátu certifikační autority v konfiguračním souboru služby
  4. Kopírování kryptografických otisků klientského certifikátu
  5. Konfigurace povolených klientů v konfiguračním souboru služby
  6. Konfigurace kontroly odvolání klientského certifikátu

Povolené IP adresy

Přístup ke koncovým bodům služby je možné omezit na konkrétní rozsahy IP adres.

Konfigurace šifrování úložiště

K šifrování přihlašovacích údajů uložených v úložišti metadat se vyžaduje certifikát. Zvolte nejvhodnější ze tří níže uvedených scénářů a proveďte všechny kroky:

Použití nového certifikátu podepsaného svým držitelem

  1. Vytvoření certifikátu podepsaného svým držitelem
  2. Vytvoření souboru PFX pro šifrovací certifikát podepsaný svým držitelem
  3. Nahrání šifrovacího certifikátu do cloudové služby
  4. Aktualizace šifrovacího certifikátu v konfiguračním souboru služby

Použití existujícího certifikátu z úložiště certifikátů

  1. Export šifrovacího certifikátu z úložiště certifikátů
  2. Nahrání šifrovacího certifikátu do cloudové služby
  3. Aktualizace šifrovacího certifikátu v konfiguračním souboru služby

Použití existujícího certifikátu v souboru PFX

  1. Nahrání šifrovacího certifikátu do cloudové služby
  2. Aktualizace šifrovacího certifikátu v konfiguračním souboru služby

Výchozí konfigurace

Výchozí konfigurace odepře veškerý přístup ke koncovému bodu HTTP. Toto je doporučené nastavení, protože požadavky na tyto koncové body můžou obsahovat citlivé informace, jako jsou přihlašovací údaje databáze. Výchozí konfigurace umožňuje veškerý přístup ke koncovému bodu HTTPS. Toto nastavení může být dále omezeno.

Změna konfigurace

Skupina pravidel řízení přístupu, která platí pro a koncový bod, jsou nakonfigurovaná v <části EndpointAcls> v konfiguračním souboru služby.

<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpIn" accessControl="DenyAll" />
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="AllowAll" />
</EndpointAcls>

Pravidla ve skupině řízení přístupu jsou nakonfigurována v <části AccessControl name=""> konfiguračního souboru služby.

Tento formát je vysvětlen v dokumentaci k seznamům řízení přístupu k síti. Pokud chcete například povolit přístup ke koncovému bodu HTTPS pouze IP adresy v rozsahu 100.100.100.0 až 100.255.255, pravidla by vypadala takto:

<AccessControl name="Retricted">
    <Rule action="permit" description="Some" order="1" remoteSubnet="100.100.0.0/16"/>
    <Rule action="deny" description="None" order="2" remoteSubnet="0.0.0.0/0" />
</AccessControl>
<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="Restricted" />
</EndpointAcls>

Prevence odepření služeb

Existují dva různé mechanismy, které podporují detekci a prevenci útoků DoS:

  • Omezení počtu souběžných požadavků na vzdáleného hostitele (ve výchozím nastavení vypnuto)
  • Omezení rychlosti přístupu na vzdáleného hostitele (ve výchozím nastavení)

Jsou založené na funkcích, které jsou podrobněji popsané v dynamickém zabezpečení IP adres ve službě IIS. Při změně této konfigurace si dávejte pozor na následující faktory:

  • Chování proxy serverů a zařízení překladu síťových adres přes informace o vzdáleném hostiteli
  • Každý požadavek na jakýkoli prostředek ve webové roli se považuje za (například načítání skriptů, obrázků atd.)

Omezení počtu souběžných přístupů

Nastavení, která toto chování konfigurují, jsou:

<Setting name="DynamicIpRestrictionDenyByConcurrentRequests" value="false" />
<Setting name="DynamicIpRestrictionMaxConcurrentRequests" value="20" />

Chcete-li povolit tuto ochranu, změňte DynamicIpRestrictionDenyByConcurrentRequests na true.

Omezení rychlosti přístupu

Nastavení, která toto chování konfigurují, jsou:

<Setting name="DynamicIpRestrictionDenyByRequestRate" value="true" />
<Setting name="DynamicIpRestrictionMaxRequests" value="100" />
<Setting name="DynamicIpRestrictionRequestIntervalInMilliseconds" value="2000" />

Konfigurace odpovědi na odepřený požadavek

Následující nastavení nakonfiguruje odpověď na zamítnutý požadavek:

<Setting name="DynamicIpRestrictionDenyAction" value="AbortRequest" />

Další podporované hodnoty najdete v dokumentaci k dynamickému zabezpečení IP adres ve službě IIS.

Operace pro konfiguraci certifikátů služby

Toto téma je určené pouze pro referenci. Postupujte podle kroků konfigurace uvedených v tématu:

  • Konfigurace certifikátu TLS/SSL
  • Konfigurace klientských certifikátů

Vytvoření certifikátu podepsaného jeho držitelem (self-signed certificate)

Spusťte:

makecert ^
  -n "CN=myservice.cloudapp.net" ^
  -e MM/DD/YYYY ^
  -r -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.1" ^
  -a sha256 -len 2048 ^
  -sv MySSL.pvk MySSL.cer

Přizpůsobení:

  • -n s adresou URL služby. Podporují se zástupné názvy ("CN=*.cloudapp.net") a alternativní názvy ("CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net").
  • -e s datem vypršení platnosti certifikátu Vytvořte silné heslo a po zobrazení výzvy ho zadejte.

Vytvoření souboru PFX pro certifikát TLS/SSL podepsaný svým držitelem

Spusťte:

pvk2pfx -pvk MySSL.pvk -spc MySSL.cer

Zadejte heslo a pak exportujte certifikát s těmito možnostmi:

  • Ano, export privátního klíče
  • Exportovat všechny rozšířené vlastnosti

Export certifikátu TLS/SSL z úložiště certifikátů

  • Vyhledání certifikátu
  • Click Actions -> All tasks -> Export...
  • Exportujte certifikát do souboru . Soubor PFX s těmito možnostmi:
    • Ano, export privátního klíče
    • Pokud je to možné, zahrňte všechny certifikáty do cesty k certifikaci * Export všech rozšířených vlastností

Nahrání certifikátu TLS/SSL do cloudové služby

Nahrajte certifikát s existujícím nebo vygenerovaným certifikátem . Soubor PFX s párem klíčů TLS:

  • Zadejte heslo, které chrání informace o privátním klíči.

Aktualizace certifikátu TLS/SSL v konfiguračním souboru služby

Aktualizujte hodnotu kryptografického otisku následujícího nastavení v konfiguračním souboru služby kryptografickým otiskem certifikátu nahraného do cloudové služby:

<Certificate name="SSL" thumbprint="" thumbprintAlgorithm="sha1" />

Import certifikační autority TLS/SSL

Postupujte podle těchto kroků ve všech účtech nebo počítačích, které budou komunikovat se službou:

  • Poklikejte na tlačítko . Soubor CER v Průzkumníku Windows
  • V dialogovém okně Certifikát klepněte na tlačítko Nainstalovat certifikát...
  • Import certifikátu do úložiště důvěryhodných kořenových certifikačních autorit

Vypnutí ověřování na základě klientských certifikátů

Podporuje se pouze ověřování na základě certifikátů klienta a jeho zakázání umožní veřejný přístup ke koncovým bodům služby, pokud nejsou zavedené jiné mechanismy (například Microsoft Azure Virtual Network).

Pokud chcete tuto funkci vypnout, změňte tato nastavení na false v konfiguračním souboru služby:

<Setting name="SetupWebAppForClientCertificates" value="false" />
<Setting name="SetupWebserverForClientCertificates" value="false" />

Potom zkopírujte stejný kryptografický otisk jako certifikát TLS/SSL v nastavení certifikátu certifikační autority:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Vytvoření certifikační autority podepsané svým držitelem

Spuštěním následujících kroků vytvořte certifikát podepsaný svým držitelem, který bude fungovat jako certifikační autorita:

makecert ^
-n "CN=MyCA" ^
-e MM/DD/YYYY ^
 -r -cy authority -h 1 ^
 -a sha256 -len 2048 ^
  -sr localmachine -ss my ^
  MyCA.cer

Přizpůsobení

  • -e s datem vypršení platnosti certifikace

Vyhledání veřejného klíče certifikační autority

Všechny klientské certifikáty musí být vydány certifikační autoritou, které služba důvěřuje. Vyhledejte veřejný klíč certifikační autority, která vydala klientské certifikáty, které se budou používat k ověřování, aby ho bylo možné nahrát do cloudové služby.

Pokud soubor s veřejným klíčem není dostupný, exportujte ho z úložiště certifikátů:

  • Vyhledání certifikátu
    • Vyhledání klientského certifikátu vydaného stejnou certifikační autoritou
  • Poklikejte na certifikát.
  • V dialogovém okně Certifikát vyberte kartu Cesta k certifikaci.
  • Poklikejte na položku certifikační autority v cestě.
  • Pořizování poznámek k vlastnostem certifikátu
  • Zavřete dialogové okno Certifikát.
  • Vyhledání certifikátu
    • Vyhledejte certifikační autoritu uvedenou výše.
  • Click Actions -> All tasks -> Export...
  • Exportujte certifikát do souboru . CER s těmito možnostmi:
    • Ne, neexportujte privátní klíč.
    • Pokud je to možné, zahrňte všechny certifikáty do cesty certifikace.
    • Export všech rozšířených vlastností

Nahrání certifikátu certifikační autority do cloudové služby

Nahrajte certifikát s existujícím nebo vygenerovaným certifikátem . Soubor CER s veřejným klíčem certifikační autority

Aktualizace certifikátu certifikační autority v konfiguračním souboru služby

Aktualizujte hodnotu kryptografického otisku následujícího nastavení v konfiguračním souboru služby kryptografickým otiskem certifikátu nahraného do cloudové služby:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Aktualizujte hodnotu následujícího nastavení stejným kryptografickým otiskem:

<Setting name="AdditionalTrustedRootCertificationAuthorities" value="" />

Vydávání klientských certifikátů

Každý jednotlivec autorizovaný pro přístup ke službě by měl mít vydaný klientský certifikát pro výhradní použití a měl by si zvolit vlastní silné heslo pro ochranu svého privátního klíče.

Následující kroky se musí provést na stejném počítači, na kterém byl vygenerovaný a uložený certifikát certifikační autority podepsaný svým držitelem:

makecert ^
  -n "CN=My ID" ^
  -e MM/DD/YYYY ^
  -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.2" ^
  -a sha256 -len 2048 ^
  -in "MyCA" -ir localmachine -is my ^
  -sv MyID.pvk MyID.cer

Přizpůsobení:

  • -n s ID pro klienta, který bude ověřen pomocí tohoto certifikátu
  • -e s datem vypršení platnosti certifikátu
  • MyID.pvk a MyID.cer s jedinečnými názvy souborů pro tento klientský certifikát

Tento příkaz zobrazí výzvu k vytvoření hesla a následnému použití jednou. Použijte silné heslo.

Vytvoření souborů PFX pro klientské certifikáty

Pro každý vygenerovaný klientský certifikát spusťte:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Přizpůsobení:

MyID.pvk and MyID.cer with the filename for the client certificate

Zadejte heslo a pak exportujte certifikát s těmito možnostmi:

  • Ano, export privátního klíče
  • Exportovat všechny rozšířené vlastnosti
  • Jednotlivec, kterému se tento certifikát vydává, by měl zvolit heslo pro export.

Import klientského certifikátu

Každý jednotlivec, pro kterého byl vydán klientský certifikát, by měl importovat dvojici klíčů v počítačích, které budou používat ke komunikaci se službou:

  • Poklikejte na tlačítko . Soubor PFX v Průzkumníku Windows
  • Import certifikátu do osobního úložiště s alespoň touto možností:
    • Zahrnout všechny rozšířené vlastnosti zaškrtnuté

Kopírování kryptografických otisků klientského certifikátu

Každý jednotlivec, pro kterého byl vydán klientský certifikát, musí postupovat podle těchto kroků, aby získal kryptografický otisk certifikátu, který se přidá do konfiguračního souboru služby:

  • Spuštění certmgr.exe
  • Výběr karty Osobní
  • Poklikejte na klientský certifikát, který se má použít k ověřování.
  • V dialogovém okně Certifikát, které se otevře, vyberte kartu Podrobnosti.
  • Ujistěte se, že show zobrazuje vše.
  • Výběr pole s názvem Kryptografický otisk v seznamu
  • Zkopírování hodnoty kryptografického otisku
    • Odstranění neviditelných znaků Unicode před první číslicí
    • Odstranit všechny mezery

Konfigurace povolených klientů v konfiguračním souboru služby

Aktualizujte hodnotu následujícího nastavení v konfiguračním souboru služby se seznamem kryptografických otisků klientských certifikátů povolených pro přístup ke službě:

<Setting name="AllowedClientCertificateThumbprints" value="" />

Konfigurace kontroly odvolání klientských certifikátů

Výchozí nastavení nekontroluje u certifikační autority stav odvolání klientského certifikátu. Chcete-li zapnout kontroly, pokud certifikační autorita, která vydala klientské certifikáty, podporuje takové kontroly, změňte následující nastavení s jednou z hodnot definovaných v výčtu X509RevocationMode:

<Setting name="ClientCertificateRevocationCheck" value="NoCheck" />

Vytvoření souboru PFX pro šifrovací certifikáty podepsané svým držitelem

Pro šifrovací certifikát spusťte:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Přizpůsobení:

MyID.pvk and MyID.cer with the filename for the encryption certificate

Zadejte heslo a pak exportujte certifikát s těmito možnostmi:

  • Ano, export privátního klíče
  • Exportovat všechny rozšířené vlastnosti
  • Heslo budete potřebovat při nahrávání certifikátu do cloudové služby.

Export šifrovacího certifikátu z úložiště certifikátů

  • Vyhledání certifikátu
  • Click Actions -> All tasks -> Export...
  • Exportujte certifikát do souboru . Soubor PFX s těmito možnostmi:
    • Ano, export privátního klíče
    • Pokud je to možné, zahrnout všechny certifikáty na cestě k certifikátu
  • Exportovat všechny rozšířené vlastnosti

Nahrání šifrovacího certifikátu do cloudové služby

Nahrajte certifikát s existujícím nebo vygenerovaným certifikátem . Soubor PFX s párem šifrovacího klíče:

  • Zadejte heslo, které chrání informace o privátním klíči.

Aktualizace šifrovacího certifikátu v konfiguračním souboru služby

Aktualizujte hodnotu kryptografického otisku následujících nastavení v konfiguračním souboru služby kryptografickým otiskem certifikátu nahraného do cloudové služby:

<Certificate name="DataEncryptionPrimary" thumbprint="" thumbprintAlgorithm="sha1" />

Běžné operace s certifikáty

  • Konfigurace certifikátu TLS/SSL
  • Konfigurace klientských certifikátů

Vyhledání certifikátu

Postupujte následovně:

  1. Spusťte mmc.exe.
  2. Soubor –> Přidat nebo odebrat modul snap-in...
  3. Vyberte Certifikáty.
  4. Klikněte na tlačítko Přidat.
  5. Zvolte umístění úložiště certifikátů.
  6. Klikněte na Finish (Dokončit).
  7. Klikněte na OK.
  8. Rozbalte certifikáty.
  9. Rozbalte uzel úložiště certifikátů.
  10. Rozbalte podřízený uzel certifikátu.
  11. V seznamu vyberte certifikát.

Export certifikátu

V Průvodci exportem certifikátu:

  1. Klikněte na tlačítko Další.
  2. Vyberte Ano a pak export privátního klíče.
  3. Klikněte na tlačítko Další.
  4. Vyberte požadovaný formát výstupního souboru.
  5. Zkontrolujte požadované možnosti.
  6. Zkontrolujte heslo.
  7. Zadejte silné heslo a potvrďte ho.
  8. Klikněte na tlačítko Další.
  9. Zadejte nebo procházejte název souboru, kam chcete certifikát uložit (použijte . ROZŠÍŘENÍ PFX).
  10. Klikněte na Next (Další).
  11. Klikněte na Finish (Dokončit).
  12. Klikněte na OK.

Import certifikátu

V Průvodci importem certifikátu:

  1. Vyberte umístění obchodu.

    • Výběr aktuálního uživatele , pokud k této službě přistupí pouze procesy spuštěné v aktuálním uživateli
    • Vyberte místní počítač , pokud k této službě přistupují jiné procesy v tomto počítači.

  2. Klikněte na tlačítko Další.

  3. Pokud importujete ze souboru, potvrďte cestu k souboru.

  4. Při importu souboru . SOUBOR PFX:

    1. Zadejte heslo, které chrání privátní klíč.
    2. Výběr možností importu

  5. Vyberte "Umístit" certifikáty v následujícím úložišti.

  6. Klikněte na Browse (Procházet).

  7. Vyberte požadované úložiště.

  8. Klikněte na Finish (Dokončit).

    • Pokud bylo vybrané úložiště důvěryhodné kořenové certifikační autority, klikněte na tlačítko Ano.

  9. Klikněte na OK ve všech oknech dialogového okna.

Nahrání certifikátu

Na webu Azure Portal

  1. Vyberte Cloudové služby.
  2. Vyberte cloudovou službu.
  3. V horní nabídce klikněte na Certifikáty.
  4. Na dolním panelu klikněte na Nahrát.
  5. Vyberte soubor certifikátu.
  6. Pokud je to . Soubor PFX zadejte heslo pro privátní klíč.
  7. Po dokončení zkopírujte kryptografický otisk certifikátu z nové položky v seznamu.

Další aspekty zabezpečení

Nastavení protokolu TLS popsané v tomto dokumentu šifrují komunikaci mezi službou a jejími klienty při použití koncového bodu HTTPS. To je důležité, protože přihlašovací údaje pro přístup k databázi a potenciálně další citlivé informace jsou obsaženy ve komunikaci. Upozorňujeme však, že služba uchovává interní stav, včetně přihlašovacích údajů, ve svých interních tabulkách v databázi ve službě Azure SQL Database, kterou jste zadali pro úložiště metadat ve vašem předplatném Microsoft Azure. Tato databáze byla definována jako součást následujícího nastavení v konfiguračním souboru služby (. CSCFG soubor:

<Setting name="ElasticScaleMetadata" value="Server=…" />

Přihlašovací údaje uložené v této databázi jsou šifrované. Osvědčeným postupem je ale zajistit, aby webové i pracovní role nasazení služby byly aktuální a zabezpečené, protože obě mají přístup k databázi metadat a k certifikátu používanému k šifrování a dešifrování uložených přihlašovacích údajů.

Související obsah

Ještě nepoužíváte nástroje elastické databáze? Podívejte se na naši příručku Začínáme. Pokud máte dotazy, kontaktujte nás na stránce otázek Microsoft Q&A pro SLUŽBU SQL Database a žádosti o funkce, přidejte nové nápady nebo hlasujte pro stávající nápady ve fóru pro zpětnou vazbu ke službě SQL Database.