Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
SQL Server vždy šifruje síťové pakety přidružené k přihlášení. Pokud se na serveru při spuštění nezřídil žádný certifikát, SQL Server vygeneruje certifikát podepsaný svým držitelem, který se používá k šifrování přihlašovacích paketů.
Šifrování mezi klientem a serverem na vysoké úrovni zajišťuje, že data budou čitelná jenom klientem a serverem. Důležitou součástí procesu šifrování je ověření certifikátu serveru. Ověření certifikátu serveru umožňuje klientovi zajistit, že je server, o který se jedná. Certifikát se ověřuje pro věci, jako je vypršení platnosti, řetěz důvěryhodnosti a že název v certifikátu odpovídá názvu serveru, ke kterému se klient připojuje. Další informace naleznete v tématu Transport Layer Security a digitální certifikáty.
Důrazně doporučujeme zřídit ověřitelný certifikát na SQL Serveru pro zabezpečené připojení. Protokol TLS (Transport Security Layer) je možné zabezpečit pouze pomocí ověření certifikátu.
Aplikace mohou požadovat šifrování veškerého síťového provozu pomocí klíčového slova připojovacího Encrypt řetězce nebo vlastnosti připojení. Ve výchozím nastavení vyžaduje šifrování veškerého síťového provozu pro připojení certifikát zřízený na serveru. Když nastavíte klienta tak, aby důvěřoval certifikátu na serveru, můžete být zranitelní vůči útokům typu man-in-the-middle. Pokud na server nasadíte ověřitelný certifikát, ujistěte se, že nastavení klienta Encrypt jsou True a Trust Server Certificate nastavení jsou False.
Pokud chcete povolit šifrování, které se má použít v případě, že certifikát není na serveru zřízený, Encrypt můžete použít nastavení klienta.Trust Server Certificate V takovém případě šifrování používá certifikát serveru podepsaný svým držitelem bez ověření klientem. Tato konfigurace šifruje připojení, ale nezabrání zařízením mezi klientem a serverem v zachycení připojení a proxy serveru šifrování.
Změny chování šifrování a ověřování certifikátů
Verze 4.0 Microsoft.Data.SqlClient zavádí zásadní změny v nastavení šifrování.
Encrypt nyní je výchozí hodnota True.
Verze 2.0 Microsoft.Data.SqlClient zavádí zásadní změny v chování Trust Server Certificate nastavení. Pokud Encrypt byl dříve nastaven Falsena hodnotu , certifikát serveru se neověřil bez Trust Server Certificate ohledu na nastavení. Nyní se certifikát serveru ověří na Trust Server Certificate základě nastavení, pokud server vynutí šifrování, i když Encrypt je nastaven na False.
Verze 4.0
Následující tabulka popisuje výsledek šifrování a ověření pro nastavení šifrování a certifikátu:
Encrypt nastavení klienta |
Trust Server Certificate nastavení klienta |
Force encryption nastavení serveru |
Result |
|---|---|---|---|
| Nepravda | False (výchozí) | Ne | Šifrování probíhá pouze pro pakety LOGIN. Certifikát se neověřuje. |
| Nepravda | False (výchozí) | Ano | (Změna chování z verze 1.0 na 2.0) K šifrování veškerého síťového provozu dochází jenom v případě, že existuje ověřitelný certifikát serveru, jinak pokus o připojení selže. |
| Nepravda | Pravdivé | Ano | K šifrování veškerého síťového provozu dochází a certifikát se neověřuje. |
| True (nové výchozí) | False (výchozí) | N/A | K šifrování veškerého síťového provozu dochází jenom v případě, že existuje ověřitelný certifikát serveru, jinak pokus o připojení selže. |
| True (nové výchozí) | Pravdivé | N/A | K šifrování veškerého síťového provozu dochází, ale certifikát se neověřuje. |
| Strict (přidáno ve verzi 5.0) | N/A | N/A | K šifrování veškerého síťového provozu dochází pomocí TDS 8.0 pouze v případě, že existuje ověřitelný certifikát serveru, jinak pokus o připojení selže. |
Upozornění
Předchozí tabulka obsahuje pouze vodítko pro chování systému v různých konfiguracích. Kvůli zabezpečenému připojení se ujistěte, že klient i server vyžadují šifrování. Také se ujistěte, že server má ověřitelný certifikát a že TrustServerCertificate nastavení v klientovi je nastavené na False.
Počínaje verzí 5.0 Microsoft.Data.SqlClient HostNameInCertificate je nová možnost připojení. Ověření certifikátu serveru zajišťuje, že běžný název (CN) nebo alternativní název subjektu (SAN) v certifikátu odpovídá názvu serveru, ke kterému je připojený. V některých případech, jako jsou aliasy DNS, se název serveru nemusí shodovat s cn nebo SAN. Hodnotu HostNameInCertificate lze použít k zadání jiného, očekávaného cn nebo sítě SAN v certifikátu serveru.
Verze 2.0
Počínaje verzí 2.0, když server vynutí šifrování, klient ověří certifikát serveru na základě nastavení bez Encrypt ohledu na Trust Server Certificate nastavení.
Následující tabulka popisuje výsledek šifrování a ověření pro nastavení šifrování a certifikátu:
Encrypt nastavení klienta |
Trust Server Certificate nastavení klienta |
Force encryption nastavení serveru |
Result |
|---|---|---|---|
| False (výchozí) | False (výchozí) | Ne | Šifrování probíhá pouze pro pakety LOGIN. Certifikát se neověřuje. |
| False (výchozí) | False (výchozí) | Ano | (Změna chování) K šifrování veškerého síťového provozu dochází jenom v případě, že existuje ověřitelný certifikát serveru, jinak pokus o připojení selže. |
| False (výchozí) | Pravdivé | Ano | K šifrování veškerého síťového provozu dochází a certifikát se neověřuje. |
| Pravdivé | False (výchozí) | N/A | K šifrování veškerého síťového provozu dochází jenom v případě, že existuje ověřitelný certifikát serveru, jinak pokus o připojení selže. |
| Pravdivé | Pravdivé | N/A | K šifrování veškerého síťového provozu dochází, ale certifikát se neověřuje. |
Upozornění
Předchozí tabulka obsahuje pouze vodítko pro chování systému v různých konfiguracích. Kvůli zabezpečenému připojení se ujistěte, že klient i server vyžadují šifrování. Také se ujistěte, že server má ověřitelný certifikát a že TrustServerCertificate nastavení v klientovi je nastavené na False.
Verze 1.0
Následující tabulka popisuje výsledek šifrování a ověření pro nastavení šifrování a certifikátu:
Encrypt nastavení klienta |
Trust Server Certificate nastavení klienta |
Force encryption nastavení serveru |
Result |
|---|---|---|---|
| False (výchozí) | False (výchozí) | Ne | Šifrování probíhá pouze pro pakety LOGIN. Certifikát se neověřuje. |
| False (výchozí) | False (výchozí) | Ano | K šifrování veškerého síťového provozu dochází, ale certifikát se neověřuje. |
| False (výchozí) | Pravdivé | Ano | K šifrování veškerého síťového provozu dochází a certifikát se neověřuje. |
| Pravdivé | False (výchozí) | N/A | K šifrování veškerého síťového provozu dochází jenom v případě, že existuje ověřitelný certifikát serveru, jinak pokus o připojení selže. |
| Pravdivé | Pravdivé | N/A | K šifrování veškerého síťového provozu dochází, ale certifikát se neověřuje. |