Připojení k SQL Serveru s přísným šifrováním

platí pro: SQL Server 2022 (16.x) a novější verze

Přísné šifrování připojení vynucuje osvědčené postupy zabezpečení a zajišťuje správu provozu SQL Serveru standardními síťovými zařízeními.

V tomto článku se dozvíte, jak se připojit k SQL Serveru 2022 (16.x) a novějším verzím pomocí striktního typu připojení.

Předpoklad

• SQL Server 2022 (16.x) nebo novější
• Ovladač ODBC nebo OLE DB pro SQL Server
  • Ovladač ODBC pro SQL Server verze 18.1.2.1 nebo vyšší
  • Ovladač OLE DB pro SQL Server verze 19.2.0 nebo vyšší
• Vytvořte a nainstalujte certifikát TLS na SQL Server. Další informace najdete v tématu Povolení šifrovaných připojení k databázovému stroji.

Připojení k SQL Serveru pomocí aplikace .NET

Informace o vytváření a připojování k SQL Serveru pomocí strict typu šifrování najdete v tématu Syntaxe připojovacího řetězce, jak správně sestavit připojovací řetězec. Další informace o nových vlastnostech připojovacího řetězce naleznete v tématu Další změny vlastností šifrování připojovacího řetězce.

Připojení pomocí DSN ODBC

Připojení s Strict typem šifrování připojení můžete otestovat pomocí dsN ODBC k SQL Serveru.

1. Vyhledejte aplikaci ZDROJE dat ODBC ve Windows.

   

2. Zkontrolujte, že máte nejnovější ovladač ODBC, a to tak, že se podíváte na kartu Ovladače správce zdroje dat ODBC.

   

3. Na kartě System DSN vyberte Přidat a vytvořte DSN. Pak vyberte ovladač ODBC 18 pro SQL Server. Vyberte Dokončit. Použijeme ho k otestování připojení.

4. V okně Vytvořit nový zdroj dat pro SQL Server zadejte název tohoto zdroje dat a přidejte název serveru SQL Server 2022 (16.x) na server. Vyberte Další.

   

5. Použijte všechny výchozí hodnoty pro všechna nastavení, dokud se nedostanete na obrazovku s šifrováním připojení. Vyberte Striktní. Pokud se zadaný název serveru liší od názvu serveru v certifikátu nebo pokud se místo toho použije IP adresa, nastavte název hostitele v certifikátu na název hostitele, který jste použili v certifikátu. Vyberte Dokončit.

   

6. Když se zobrazí dialogové okno ODBC Microsoft SQL Server Setup , vyberte tlačítko Test Data Source... a otestujte připojení. To by mělo vynutit strict připojení k SQL Serveru pro tento test.

Připojení pomocí univerzálního datového propojení

Můžete také otestovat připojení k SQL Serveru pomocí šifrování pomocí ovladače OLE DB s univerzálním datovým propojením strict (UDL).

1. Pokud chcete vytvořit soubor UDL pro otestování připojení, klikněte pravým tlačítkem na plochu a vyberte Nový>textový dokument. Budete muset změnit rozšíření z txt na udl. Soubor můžete pojmenovat libovolným způsobem.

   Poznámka:

   Abyste mohli změnit příponu z txt na udl, budete muset být schopni zobrazit název přípony. Pokud rozšíření nevidíte, můžete povolit zobrazení rozšíření otevřením Průzkumník souborů>Zobrazení>Ukázat> Přípony názvů souborů.

2. Otevřete soubor UDL, který jste vytvořili, a přejděte na kartu Zprostředkovatel a vyberte ovladač Microsoft OLE DB 19 pro SQL Server. Vyberte Další >>.

   

3. Na kartě Připojení zadejte název serveru SQL Serveru a vyberte metodu ověřování, kterou používáte pro přihlášení k SQL Serveru.

   

4. Na kartě Upřesnit vyberte Striktní pro šifrování připojení. Pokud se zadaný název serveru liší od názvu v certifikátu nebo pokud se místo toho použije IP adresa, nastavte název hostitele v certifikátu na název hostitele, který jste použili v certifikátu. Až budete hotovi, vraťte se na kartu Připojení .

   

5. Výběrem Test připojení otestujte připojení pomocí strict šifrování připojení.

   

Připojení pomocí SSMS

Počínaje verzí 20 můžete vynutit přísné šifrování v aplikaci SQL Server Management Studio (SSMS) na kartě Přihlášení v dialogovém okně Připojit k serveru :

Připojení ke skupině dostupnosti AlwaysOn

Od verze SQL Server 2025 (17.x) můžete šifrovat komunikaci mezi clusterem s podporou převzetí služeb při selhání Windows Server a replikou skupiny dostupnosti Always On pomocí typu šifrování pro připojení Strict nebo Mandatory. Vaše dostupnostní skupina může vynutit šifrování pouze v případě, že je založená na Windows Server Failover Clusteru. Jiné typy skupin dostupnosti nepodporují striktní šifrování.

Postup se liší podle toho, jestli už vaše dostupnost existuje.

Nová akciová společnost

Pokud chcete vynutit přísné šifrování pro novou skupinu dostupnosti, postupujte takto:

1. Pokud jste to ještě neudělali, naimportujte certifikát TLS do každé repliky skupiny dostupnosti, jak je definováno požadavky na certifikáty. Po importu certifikátu restartujte každou instanci SQL Serveru.
2. Otestujte připojení ke každé replice SQL Serveru pomocí jedné z metod uvedených v tomto článku, která vynucuje šifrování.
3. CREATE AVAILABILITY GROUP s vlastností nastavenou EncryptStrict v CLUSTER_CONNECTION_OPTIONS klauzuli pro skupinu dostupnosti. Tím zajistíte, že všechna připojení ke skupině dostupnosti budou používat zadaný typ šifrování.
4. Pokud je skupina dostupnosti aktuálně online, skupina dostupnosti převezme služby při selhání sekundární repliky, aby se nová nastavení šifrování použila pro skupinu dostupnosti. Pokud se skupině dostupnosti nepodaří přejít do režimu online, může se jednat o to, že ClusterConnectionOptions není správně nastavená. Zkontrolujte cluster.log kvůli chybám ODBC souvisejícím s chybami clusteru při pokusu o připojení k replice SQL Serveru. Volitelně můžete přepnout skupinu dostupnosti zpět na původní primární repliku poté, co je nová sekundární replika online a připojená ke skupině dostupnosti.
5. (Volitelné) Šifrování můžete dále vynutit nastavením možnosti Vynucení striktního šifrování ve Yes vlastnostech nástroje SQL Server Configuration Manager pro protokol připojení pro každou repliku. Toto nastavení zajišťuje, aby všechna připojení k replikám skupiny dostupnosti používala striktní šifrování. Po změně tohoto nastavení restartujte každou repliku SQL Serveru.

Existující AG

Než začnete konfigurovat stávající skupinu dostupnosti pro striktní šifrování, postupujte podle kroků v postupném upgradu během časového období údržby, abyste minimalizovali výpadky a vyhnuli se ztrátě dat.

Pokud chcete nakonfigurovat stávající skupinu dostupnosti pro striktní šifrování, postupujte během časového období údržby takto:

1. Pokud jste to ještě neudělali, naimportujte certifikát TLS do každé sekundární repliky skupiny dostupnosti, jak je definováno požadavky na certifikáty. Po importu certifikátu restartujte každou sekundární repliku SQL Serveru.
2. Otestujte připojení ke každé replice SQL Serveru pomocí jedné z metod uvedených v tomto článku, která vynucuje šifrování.
3. Převzetí služeb při selhání skupiny dostupnosti na jednu ze sekundárních replik, ke kterým jste se právě připojili. Tím se stane novou primární replikou.
4. Importujte certifikát TLS do nové sekundární repliky, která slouží jako primární replika. Po importu certifikátu restartujte instanci SQL Serveru.
5. Aktualizujte připojovací řetězce klientské aplikace, aby se připojily ke skupině dostupnosti s vynuceným šifrováním.
6. ALTER AVAILABILITY GROUP s CLUSTER_CONNECTION_OPTIONS klauzulí pro nastavení Encrypt vlastnosti na Mandatory nebo Strict. Tím zajistíte, že všechna připojení ke skupině dostupnosti budou používat zadaný typ šifrování.
7. Pokud je skupina dostupnosti aktuálně online, skupina dostupnosti převezme služby při selhání sekundární repliky, aby se nová nastavení šifrování použila pro skupinu dostupnosti. Pokud se skupině dostupnosti nepodaří přejít do režimu online, může se jednat o to, že ClusterConnectionOptions není správně nastavená. Zkontrolujte cluster.log pro chyby ODBC související s tím, že se cluster nemůže připojit k replice SQL Serveru. Volitelně můžete skupinu dostupnosti přepnout zpět na původní primární repliku, jakmile je nová sekundární replika dostupná a připojená k dostupnostní skupině.
8. (Volitelné) Šifrování můžete dále vynutit nastavením možnosti Vynucení striktního šifrování ve Yes vlastnostech nástroje SQL Server Configuration Manager pro protokol připojení pro každou repliku. Toto nastavení zajišťuje, aby všechna připojení k replikám skupiny dostupnosti používala striktní šifrování. Po změně tohoto nastavení restartujte každou repliku SQL Serveru.

Připojit se k instanci failover clusteru

Počínaje SQL Serverem 2025 (17.x) můžete šifrovat komunikaci mezi clusterem s podporou převzetí služeb při selhání Windows Serveru a instancí clusteru s podporou převzetí služeb při selhání Always On pomocí některého z typů šifrování připojení nebo Strict. Postupujte takto:

1. Pokud jste to ještě neudělali, naimportujte certifikát TLS do každého uzlu clusteru s podporou převzetí služeb při selhání, jak je definováno požadavky na certifikáty. Po importu certifikátu restartujte instanci SQL Serveru.
2. Otestujte připojení k instanci clusteru převzetí služeb při selhání pomocí jedné z metod uvedených v tomto článku, která zabezpečuje šifrování.
3. ALTER SERVER CONFIGURATION s CLUSTER_CONNECTION_OPTIONS klauzulí pro nastavení Encrypt vlastnosti na Mandatory nebo Strict. Tím zajistíte, že všechna připojení k instanci clusteru pro převzetí služeb při selhání budou používat zadaný typ šifrování.
4. Převeďte instanci na sekundární uzel, abyste aplikovali nová nastavení šifrování na instanci převzetí služeb při selhání. Pokud se instance clusteru převzetí služeb nezdaří zůstat online, může se stát, že ClusterConnectionOptions není správně nastaven. Zkontrolujte cluster.log ohledně chyb ODBC souvisejících s tím, že se cluster nemůže připojit k instanci SQL Serveru. Volitelně můžete instanci vrátit zpět do původního hlavního uzlu, jakmile bude nový sekundární uzel online a připojený k instanci clusteru failover.
5. (Volitelné) Šifrování můžete dále vynutit nastavením možnosti Vynucení striktního šifrování ve Yes vlastnostech nástroje SQL Server Configuration Manager pro protokol připojení pro každý uzel v clusteru. Toto nastavení zajišťuje, aby všechna připojení k instanci clusteru s podporou převzetí služeb při selhání používala striktní šifrování. Proveďte tuto změnu na sekundárním uzlu, přesuňte instanci ke štafetě na něj, a poté proveďte změnu na primárním uzlu.

Vynucení striktního šifrování pomocí nástroje SQL Server Configuration Manager

Přísné šifrování můžete vynutit pomocí SQL Server Configuration Manageru počínaje SQL Serverem 2022 (16.x). Postupujte takto:

1. Otevřete SQL Server Configuration Manager.

2. V levém podokně rozbalte položku Konfigurace sítě SQL Serveru a vyberte Protokoly pro [InstanceName].

3. Klikněte pravým tlačítkem na TCP/IP a vyberte Vlastnosti.

4. V dialogovém okně Vlastnosti protokolu TCP/IP přejděte na kartu Příznaky a pak u možnosti Vynucení striktního šifrování vyberte Ano:

   

5. Pokud chcete změny použít, restartujte instanci SQL Serveru během časového období údržby.

Poznámky

Pokud se zobrazí SSL certificate validation failed, ověřte, že:

• Certifikát serveru je platný na počítači, který používáte k testování.
• Alespoň jedna z následujících hodnot je pravdivá:
  • Zprostředkovatel SQL Server odpovídá názvu certifikační autority nebo jednomu z názvů DNS v certifikátu.
  • HostNameInCertificate Vlastnost připojovacího řetězce odpovídá názvu certifikační autority nebo jednomu z názvů DNS v certifikátu.

Související obsah

• TDS 8.0
• Konfigurace protokolu TLS 1.3