Připojení k SQL Serveru s přísným šifrováním

Platí pro: SQL Server 2022 (16.x)

Přísné šifrování připojení vynucuje osvědčené postupy zabezpečení a zajišťuje správu provozu SQL Serveru standardními síťovými zařízeními.

V tomto článku se dozvíte, jak se připojit k SQL Serveru 2022 (16.x) a novějším verzím pomocí striktního typu připojení.

Předpoklad

• SQL Server 2022 (16.x) nebo novější
• Ovladač ODBC nebo OLE DB pro SQL Server
  • Ovladač ODBC pro SQL Server verze 18.1.2.1 nebo vyšší
  • Ovladač OLE DB pro SQL Server verze 19.2.0 nebo vyšší
• Vytvořte a nainstalujte certifikát TLS na SQL Server. Další informace najdete v tématu Povolení šifrovaných připojení k databázovému stroji.

Připojení k SQL Serveru pomocí aplikace .NET

Informace o vytváření a připojování k SQL Serveru pomocí strict typu šifrování najdete v tématu Syntaxe připojovacího řetězce, jak správně sestavit připojovací řetězec. Další informace o nových vlastnostech připojovacího řetězce naleznete v tématu Další změny vlastností šifrování připojovacího řetězce.

Připojení pomocí DSN odbc

Připojení s Strict typem šifrování připojení můžete otestovat pomocí dsN ODBC k SQL Serveru.

1. Vyhledejte aplikaci ZDROJE dat ODBC ve Windows.

   

2. Zkontrolujte, že máte nejnovější ovladač ODBC, a to tak, že se podíváte na kartu Ovladače správce zdroje dat ODBC.

   

3. Na kartě System DSN (DsN) vyberte Add (Přidat ) a vytvořte DSN. Pak vyberte ovladač ODBC 18 pro SQL Server. Vyberte Dokončit. Použijeme ho k otestování připojení.

4. V okně Vytvořit nový zdroj dat pro SQL Server zadejte název tohoto zdroje dat a přidejte název serveru SQL Server 2022 (16.x) na server. Vyberte Další.

   

5. Použijte všechny výchozí hodnoty pro všechna nastavení, dokud se nedostanete na obrazovku s šifrováním připojení. Vyberte Striktní. Pokud se zadaný název serveru liší od názvu serveru v certifikátu nebo pokud se místo toho použije IP adresa, nastavte název hostitele v certifikátu na název hostitele, který jste použili v certifikátu. Vyberte Dokončit.

   

6. Když se zobrazí dialogové okno ODBC Microsoft SQL Server Setup , vyberte tlačítko Test Data Source... a otestujte připojení. To by mělo vynutit strict připojení k SQL Serveru pro tento test.

Připojení pomocí univerzálního datového propojení

Můžete také otestovat připojení k SQL Serveru pomocí šifrování pomocí ovladače OLE DB s univerzálním datovým propojením strict (UDL).

1. Pokud chcete vytvořit soubor UDL pro otestování připojení, klikněte pravým tlačítkem na plochu a vyberte Nový>textový dokument. Budete muset změnit rozšíření z txt na udl. Soubor můžete pojmenovat libovolným způsobem.

   Poznámka:

   Abyste mohli změnit příponu na, budete muset být schopni zobrazit název rozšíření.txtudl Pokud rozšíření nevidíte, můžete povolit zobrazení přípony otevřenímpřípony Zobrazit>>název souboru> souborů.

2. Otevřete soubor UDL, který jste vytvořili, a přejděte na kartu Zprostředkovatel a vyberte ovladač Microsoft OLE DB 19 pro SQL Server. Vyberte Další >>.

   

3. Na kartě Připojení zadejte název serveru SQL Serveru a vyberte metodu ověřování, kterou používáte pro přihlášení k SQL Serveru.

   

4. Na kartě Upřesnit vyberte Striktní pro šifrování připojení. Pokud se zadaný název serveru liší od názvu v certifikátu nebo pokud se místo toho použije IP adresa, nastavte název hostitele v certifikátu na název hostitele, který jste použili v certifikátu. Až budete hotovi, vraťte se na kartu Připojení .

   

5. Výběrem možnosti Test připojení otestujte připojení pomocí strict šifrování připojení.

   

Připojení pomocí SSMS

Počínaje verzí 20 můžete vynutit přísné šifrování v aplikaci SQL Server Management Studio (SSMS) na kartě Přihlášení v dialogovém okně Připojit k serveru :

Připojení ke skupině dostupnosti AlwaysOn

Od verze SQL Server 2025 (17.x) můžete šifrovat komunikaci mezi clusterem s podporou převzetí služeb při selhání Windows Server a replikou skupiny dostupnosti Always On pomocí typu šifrování pro připojení Strict nebo Mandatory. Vaše skupina dostupnosti může vynutit šifrování pouze v případě, že je založená na clusteru s podporou převzetí služeb při selhání Windows Serveru. Jiné typy skupin dostupnosti nepodporují striktní šifrování.

Postup se liší podle toho, jestli už vaše dostupnost existuje.

Nová skupina dostupnosti

Pokud chcete vynutit přísné šifrování pro novou skupinu dostupnosti, postupujte takto:

1. Pokud jste to ještě neudělali, naimportujte certifikát TLS do každé repliky skupiny dostupnosti, jak je definováno požadavky na certifikáty. Po importu certifikátu restartujte každou instanci SQL Serveru.
2. Otestujte připojení ke každé replice SQL Serveru pomocí jedné z metod uvedených v tomto článku, která vynucuje šifrování.
3. CREATE AVAILABILITY GROUP s vlastností nastavenou EncryptStrict v CLUSTER_CONNECTION_OPTIONS klauzuli pro skupinu dostupnosti. Tím zajistíte, že všechna připojení ke skupině dostupnosti budou používat zadaný typ šifrování.
4. Pokud je skupina dostupnosti aktuálně online, skupina dostupnosti převezme služby při selhání sekundární repliky, aby se nová nastavení šifrování použila pro skupinu dostupnosti. Pokud se skupině dostupnosti nepodaří přejít do režimu online, může se jednat o to, že ClusterConnectionOptions není správně nastavená. Zkontrolujte , jestli cluster.logchyby ODBC související s clusterem, ke kterému se nedaří připojit k replice SQL Serveru. Volitelně můžete skupinu dostupnosti selhat zpět na původní primární repliku, jakmile je nová sekundární replika online a připojená ke skupině dostupnosti.
5. (Volitelné) Šifrování můžete dále vynutit nastavením možnosti Vynucení striktního šifrování ve Yes vlastnostech nástroje SQL Server Configuration Manager pro protokol připojení pro každou repliku. Toto nastavení zajišťuje, aby všechna připojení k replikám skupiny dostupnosti používala striktní šifrování. Po změně tohoto nastavení restartujte každou repliku SQL Serveru.

Existující skupina dostupnosti

Než začnete konfigurovat stávající skupinu dostupnosti pro striktní šifrování, postupujte podle kroků v postupném upgradu během časového období údržby, abyste minimalizovali výpadky a vyhnuli se ztrátě dat.

Pokud chcete nakonfigurovat stávající skupinu dostupnosti pro striktní šifrování, postupujte během časového období údržby takto:

1. Pokud jste to ještě neudělali, naimportujte certifikát TLS do každé sekundární repliky skupiny dostupnosti, jak je definováno požadavky na certifikáty. Po importu certifikátu restartujte každou sekundární repliku SQL Serveru.
2. Otestujte připojení ke každé replice SQL Serveru pomocí jedné z metod uvedených v tomto článku, která vynucuje šifrování.
3. Převzetí služeb při selhání skupiny dostupnosti na jednu ze sekundárních replik, ke kterým jste se právě připojili. Tím se stane novou primární replikou.
4. Importujte certifikát TLS do nové sekundární repliky, která slouží jako primární replika. Po importu certifikátu restartujte instanci SQL Serveru.
5. Aktualizujte připojovací řetězce klientské aplikace, aby se připojily ke skupině dostupnosti s vynuceným šifrováním.
6. ALTER AVAILABILITY GROUP s CLUSTER_CONNECTION_OPTIONS klauzulí pro nastavení Encrypt vlastnosti na Mandatory nebo Strict. Tím zajistíte, že všechna připojení ke skupině dostupnosti budou používat zadaný typ šifrování.
7. Pokud je skupina dostupnosti aktuálně online, skupina dostupnosti převezme služby při selhání sekundární repliky, aby se nová nastavení šifrování použila pro skupinu dostupnosti. Pokud se skupině dostupnosti nepodaří přejít do režimu online, může se jednat o to, že ClusterConnectionOptions není správně nastavená. Zkontrolujte , jestli cluster.logchyby ODBC související s clusterem, ke kterému se nedaří připojit k replice SQL Serveru. Volitelně můžete skupinu dostupnosti selhat zpět na původní primární repliku, jakmile je nová sekundární replika online a připojená ke skupině dostupnosti.
8. (Volitelné) Šifrování můžete dále vynutit nastavením možnosti Vynucení striktního šifrování ve Yes vlastnostech nástroje SQL Server Configuration Manager pro protokol připojení pro každou repliku. Toto nastavení zajišťuje, aby všechna připojení k replikám skupiny dostupnosti používala striktní šifrování. Po změně tohoto nastavení restartujte každou repliku SQL Serveru.

Připojení k instanci clusteru s podporou převzetí služeb při selhání

Počínaje SQL Serverem 2025 (17.x) můžete šifrovat komunikaci mezi clusterem s podporou převzetí služeb při selhání Windows Serveru a instancí clusteru s podporou převzetí služeb při selhání Always On pomocí některého z typů šifrování připojení Strict nebo Mandatory. Postupujte takto:

1. Pokud jste to ještě neudělali, naimportujte certifikát TLS do každého uzlu clusteru s podporou převzetí služeb při selhání, jak je definováno požadavky na certifikáty. Po importu certifikátu restartujte instanci SQL Serveru.
2. Otestujte připojení k instanci clusteru s podporou převzetí služeb při selhání pomocí jedné z metod uvedených v tomto článku, která vynucuje šifrování.
3. ALTER SERVER CONFIGURATION s CLUSTER_CONNECTION_OPTIONS klauzulí pro nastavení Encrypt vlastnosti na Mandatory nebo Strict. Tím zajistíte, že všechna připojení k instanci clusteru s podporou převzetí služeb při selhání budou používat zadaný typ šifrování.
4. Převzetí služeb při selhání instance do sekundárního uzlu, aby se nová nastavení šifrování použila u instance clusteru s podporou převzetí služeb při selhání. Pokud se instance clusteru s podporou převzetí služeb při selhání nepodaří převést do režimu online, může ClusterConnectionOptions se stát, že není správně nastavená. Zkontrolujte , jestli cluster.logchyby ODBC související s clusterem, ke kterému se nedaří připojit k instanci SQL Serveru. Volitelně můžete instanci vrátit zpět do původního primárního uzlu, jakmile bude nový sekundární uzel online a připojený k instanci clusteru s podporou převzetí služeb při selhání.
5. (Volitelné) Šifrování můžete dále vynutit nastavením možnosti Vynucení striktního šifrování ve Yes vlastnostech nástroje SQL Server Configuration Manager pro protokol připojení pro každý uzel v clusteru. Toto nastavení zajišťuje, aby všechna připojení k instanci clusteru s podporou převzetí služeb při selhání používala striktní šifrování. Proveďte tuto změnu na sekundárním uzlu, proveďte převzetí služeb při selhání instance a proveďte změnu na primárním uzlu.

Vynucení striktního šifrování pomocí NÁSTROJE SQL Server Configuration Manager

Přísné šifrování můžete vynutit pomocí SQL Server Configuration Manageru počínaje SQL Serverem 2022 (16.x). Postupujte takto:

1. Otevřete SQL Server Configuration Manager.

2. V levém podokně rozbalte položku Konfigurace sítě SQL Serveru a vyberte Protokoly pro [InstanceName].

3. Klikněte pravým tlačítkem na TCP/IP a vyberte Vlastnosti.

4. V dialogovém okně Vlastnosti protokolu TCP/IP přejděte na kartu Příznaky a pak u možnosti Vynucení striktního šifrování vyberte Ano:

   

5. Pokud chcete změny použít, restartujte instanci SQL Serveru během časového období údržby.

Poznámky

Pokud se zobrazí SSL certificate validation failed, ověřte, že:

• Certifikát serveru je platný na počítači, který používáte k testování.
• Alespoň jedna z následujících hodnot je pravdivá:
  • Zprostředkovatel SQL Server odpovídá názvu certifikační autority nebo jednomu z názvů DNS v certifikátu.
  • HostNameInCertificate Vlastnost připojovacího řetězce odpovídá názvu certifikační autority nebo jednomu z názvů DNS v certifikátu.

Související obsah

• TDS 8.0
• Konfigurace protokolu TLS 1.3