Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje souhrn různých scénářů a souvisejících postupů pro povolení šifrování SQL Serveru a také postup ověření fungování šifrování.
Šifrování všech připojení k serveru (šifrování na straně serveru)
| Typ certifikátu | Vynucení šifrování ve vlastnostech serveru | Import certifikátu serveru na každém klientovi | Nastavení certifikátu důvěryhodného serveru | Vlastnost Encrypt v připojovacím řetězci | Komentáře |
|---|---|---|---|---|---|
| Certifikát podepsaný svým držitelem – automaticky vytvořený SQL Serverem | Ano | Nejde to udělat | Ano | Ignorovaný | SQL Server 2016 (13.x) a starší verze používají algoritmus SHA1. SQL Server 2017 (14.x) a novější verze používají SHA256. Další informace najdete v tématu Změny algoritmu hashování pro samopodepsaný certifikát v SQL Serveru 2017. Tento přístup nedoporučujeme pro produkční použití. |
| Certifikát podepsaný svým držitelem vytvořený pomocí New-SelfSignedCertificate nebo makecert – možnost 1 | Ano | Ne | Ano | Ignorovaný | Tento přístup nedoporučujeme pro produkční použití. |
| Certifikát podepsaný svým držitelem vytvořený pomocí New-SelfSignedCertificate nebo makecert – možnost 2 | Ano | Ano | Volitelný | Ignorovaný | Tento přístup nedoporučujeme pro produkční použití. |
| Certifikační server společnosti nebo certifikační autorita (CA), který není v seznamu účastníků – Důvěryhodný kořenový program Microsoftu – Možnost 1 | Ano | Ne | Ano | Ignorovaný | |
| Server certifikátů společnosti nebo certifikační autorita (CA), která není uvedena v seznamu účastníků – Microsoft Trusted Root Certificate Program – Možnost 2 | Ano | Ano | Volitelný | Ignorovaný | |
| Důvěryhodné kořenové autority | Ano | Ne | Volitelný | Ignorovaný | Tento přístup doporučujeme. |
Šifrování připojení z konkrétního klienta
| Typ certifikátu | Vynucení šifrování ve vlastnostech serveru | Import certifikátu serveru na každém klientovi | Zadání nastavení certifikátu důvěryhodného serveru v klientovi | Ruční zadání vlastnosti šifrování na straně klienta na hodnotu Ano/True | Komentáře |
|---|---|---|---|---|---|
| Certifikát podepsaný svým držitelem – automaticky vytvořený SQL Serverem | Ano | Nejde to udělat | Ano | Ignorovaný | SQL Server 2016 (13.x) a starší verze používají algoritmus SHA1. SQL Server 2017 (14.x) a novější verze používají SHA256. Další informace najdete v tématu Změny algoritmu hashování pro samopodepsaný certifikát v SQL Serveru 2017. Tento přístup nedoporučujeme pro produkční použití. |
| Certifikát podepsaný svým držitelem vytvořený pomocí New-SelfSignedCertificate nebo makecert – možnost 1 | Ne | Ne | Ano | Ano | Tento přístup nedoporučujeme pro produkční použití. |
| Certifikát podepsaný svým držitelem vytvořený pomocí New-SelfSignedCertificate nebo makecert – možnost 2 | Ne | Ano | Volitelný | Ano | Tento přístup nedoporučujeme pro produkční použití. |
| Certifikační server společnosti nebo certifikační autorita, která není v seznamu účastníků – Důvěryhodný kořenový program Microsoftu – Možnost 1 | Ne | Ne | Ano | Ano | |
| Certifikační server společnosti nebo certifikační autorita, která není v seznamu účastníků – Důvěryhodný kořenový program Microsoftu – Možnost 2 | Ne | Ano | Volitelný | Ano | |
| Důvěryhodné kořenové autority | Ne | Ne | Volitelný | Ano | Tento přístup doporučujeme. |
Jak zjistit, jestli šifrování funguje?
Komunikaci můžete monitorovat pomocí nástroje, jako je Microsoft Network Monitor nebo síťový sniffer, a zkontrolovat podrobnosti paketů zachycených v nástroji a ověřit, že je provoz šifrovaný.
Případně můžete pomocí příkazů Transact-SQL (T-SQL) zkontrolovat stav šifrování připojení SQL Serveru. Postupujte takto:
- Otevřete nové okno dotazu v aplikaci SQL Server Management Studio (SSMS) a připojte se k instanci SQL Serveru.
- Spuštěním následujícího příkazu T-SQL zkontrolujte hodnotu
encrypt_optionsloupce. U šifrovaných připojení bude hodnotaTRUE.
SELECT *
FROM sys.dm_exec_connections;