Podpora protokolu TLS 1.3

Platí pro: SQL Server 2022 (16.x) a novější verze databáze SQL Azure SQL DatabaseAzure SQL Managed Instancev Microsoft Fabric

SQL Server (počínaje SQL Serverem 2022 (16.x)), Azure SQL Database a Azure SQL Managed Instance podporují při použití tabulkového datového streamu 8.0 protokol TLS (Transport Layer Security) 1.3.

Důležité

I s podporou protokolu TLS 1.3 pro připojení TDS se pro spouštění satelitních služeb SQL Serveru stále vyžaduje protokol TLS 1.2. Nezakažujte na počítači protokol TLS 1.2.

SQL Server 2019 (15.x) a starší verze nepodporují protokol TLS 1.3.

Rozdíly mezi protokoly TLS 1.2 a TLS 1.3

Protokol TLS 1.3 snižuje počet odezv z dvou na jednu během fáze handshake, takže je rychlejší a bezpečnější než PROTOKOL TLS 1.2. Paket hello serveru obsahující certifikát serveru se zašifruje a jedno obnovení doby odezvy (1–RTT) se ukončí a nahradí se obnovením 0-RTT na základě sdílené složky klíče klienta. Přidání zabezpečení protokolu TLS 1.3 pochází z ukončení určitých cypher a algoritmů.

Tady je seznam algoritmů a šifer odebraných v protokolu TLS 1.3:

• Šifra streamu RC4
• Výměna klíčů RSA
• Hashovací funkce SHA-1
• Šifrování v režimu CBC (blokový mód)
• Algoritmus MD5
• Různé nedočasné skupiny Diffie-Hellman
• Šifry síly exportu
• DES
• 3DES

Podpora ovladačů

Projděte si matici podpory funkcí ovladače a zjistěte, které ovladače aktuálně podporují protokol TLS 1.3.

Podpora operačního systému

V současné době podporují protokol TLS 1.3 následující operační systémy:

• Windows 11
• Windows Server 2022

Podpora SQL Serveru 2025

SQL Server 2025 (17.x) zavádí podporu protokolu TLS 1.3 pro následující funkce:

• agenta SQL Serveru
• Skupiny dostupnosti AlwaysOn
• Instance clusteru s podporou převzetí služeb při selhání alwaysOn (FCI)
• Propojené servery
• Transakční replikace
• Sloučení replikace
• Replikace snímků
• Přesun protokolů
• Databázová pošta

Omezení nastavení

Instalace SQL Serveru 2025 selže, když je v operačním systému povolená jediná verze protokolu TLS 1.3. Proces instalace vyžaduje, aby během instalace byl k dispozici protokol TLS 1.2. Po dokončení instalace je možné protokol TLS 1.2 v případě potřeby zakázat.

Chybová zpráva během instalace: A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)

Požadavky na certifikáty

Při použití TDS 8.0 s SQL Serverem 2025 musí být splněny konkrétní požadavky na certifikát:

• Důvěryhodné certifikáty: Certifikáty musí vydat důvěryhodná certifikační autorita (CA). Certifikáty podepsané svým držitelem už nejsou ve výchozím nastavení přijímány pomocí ovladače Microsoft OLE DB pro SQL Server verze 19.
• Ověření certifikátu: TrustServerCertificate musí být nastaveno na False nebo No. Ovladač Microsoft OLE DB pro SQL Server verze 19 ověřuje řetěz důvěryhodnosti certifikátu a ověření certifikátu nelze obejít.
• Požadavky na alternativní název subjektu (SAN): Certifikáty musí obsahovat plně kvalifikovaný název domény (FQDN) i název Netbios v seznamu SAN. SQL Server Management Studio (SSMS) často používá názvy netbios při připojování a chybějící položky způsobí chyby ověření.
• Plánování položek sítě SAN: Při vystavování certifikátů zahrňte všechny možné názvy připojení klientů (plně kvalifikovaný název domény, názvy netbios, aliasy služeb). Přidání názvů později vyžaduje vytvoření nového certifikátu a restartování instance SQL Serveru.

Další informace o ověření certifikátu naleznete v tématu Šifrování a ověření certifikátu – ovladač OLE DB pro SQL Server.

Zabezpečené konfigurace ve výchozím nastavení v SQL Serveru 2025

SQL Server 2025 zavádí konfigurace zabezpečení ve výchozím nastavení pro několik funkcí, které teď používají TDS 8.0 s povoleným šifrováním ve výchozím nastavení:

• Agent SQL Serveru: Používá ovladač Microsoft OLE DB pro SQL Server verze 19 spolu s Encrypt=Mandatory a vyžaduje platné certifikáty serveru spolu s TrustServerCertificate=False. Pokud je povolená pouze verze protokolu TLS 1.3, musíte nakonfigurovat Encrypt=Strict (vynutit striktní šifrování).

• Skupiny dostupnosti AlwaysOn a FCI: Ve výchozím nastavení používá ovladač ODBC pro SQL Server verze 18, Encrypt=Mandatory . Na rozdíl od jiných funkcí umožňují TrustServerCertificate=True skupiny dostupnosti Always On a FCI scénáře se samopodepsáním.

• Propojené servery: Ve výchozím nastavení používá ovladač Microsoft OLE DB pro SQL Server verze 19 Encrypt=Mandatory . Parametr šifrování musí být zadán v připojovacím řetězci při cílení na jinou instanci SQL Serveru.

• Log shipping: Používá ovladač Microsoft OLE DB Driver pro SQL Server verze 19 s Encrypt=Mandatory a vyžaduje platné certifikáty serveru. Když provádíte přímý upgrade z nižší verze, která nepodporuje nejnovější konfigurace zabezpečení, pokud se nastavení šifrování explicitně nepřepíše bezpečnější možností, bude přesouvání protokolů používat TrustServerCertificate=True k zajištění zpětné kompatibility. Pokud chcete po upgradu vynutit protokol TLS 1.3 a Encrypt=Strict TDS 8.0, odstraňte a znovu vytvořte topologii v uložených procedurách pro odesílání protokolu pomocí aktualizovaných parametrů.

• Replikace: (Transakční, Snímek, Sloučení) Používá Microsoft OLE DB ovladač pro SQL Server verze 19 a vyžaduje platné certifikáty s Encrypt=Mandatory.

• Databázová pošta: Výchozí nastavení jsou Encrypt=Optional a TrustServerCertificate=True. Při vynucení protokolu TLS 1.3 se tyto hodnoty změní na Encrypt=Strict a TrustServerCertificate=False. Ve výchozím nastavení azure SQL Managed Instance používá protokol TLS 1.3.

• PolyBase: Používá ovladač ODBC pro SQL Server verze 18 s Encrypt=Yes (Mandatory). PolyBase umožňuje TrustServerCertificate=True samopodepsané scénáře.

• Zapisovač služby SQL VSS: Při připojování k instanci SYSTÉMU SQL Server 2025 pomocí Encryption=Strictzapisovače služby SQL VSS použije protokol TLS 1.3 a TDS 8.0 pro součást tohoto připojení mimo virtuální rozhraní zařízení (VDI).

Požadavky specifické pro komponenty

• Agent SQL Serveru s protokolem TLS 1.3: Když je povolen pouze protokol TLS 1.3, musíte použít funkci Vynucené přísné šifrování (TDS 8.0). Nižší nastavení šifrování (Mandatory nebo Optional) způsobí selhání připojení.

• Úlohy T-SQL agenta SQL Serveru: Úlohy agenta SQL Serveru T-SQL, které se připojují k místní instanci, dědí nastavení šifrování agenta SQL Serveru.

• Moduly PowerShellu: SQLPS.exe a modul SQLPS PowerShellu se v současné době nepodporují pro TDS 8.0.

• Skupiny dostupnosti AlwaysOn a fcis: Pokud chcete nakonfigurovat přísné šifrování pomocí TDS 8.0, použijte CLUSTER_CONNECTION_OPTIONS klauzuli s Encrypt=Strict nastavením a převzetí služeb při selhání.

Související obsah

• TDS 8.0
• Připojení k SQL Serveru s přísným šifrováním
• Konfigurace protokolu TLS 1.3