Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Clientcomputer muss dem Serverzertifikat vertrauen, damit der Client die Transport Layer Security (TLS)-Verschlüsselung anfordern kann, und das Zertifikat muss bereits auf dem Server vorhanden sein. Das häufigste Szenario für SQL Server-Verschlüsselung betrifft Umgebungen, für die Folgendes gilt:
- Erzwingen der Verschlüsselung für alle eingehenden Clientverbindungen mit SQL Server.
- Verwenden von Zertifikaten einer öffentlichen kommerziellen Zertifizierungsstelle, der Windows bereits vertraut. Das entsprechende Stammzertifikat für die Zertifizierungsstelle wird im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen auf allen Computern in Ihrem Netzwerk installiert.
In diesem Szenario müssen Sie keine zusätzlichen Schritte für eine erfolgreiche Verschlüsselung ausführen, nachdem SQL Server für die Verschlüsselung gemäß dem verfahren konfiguriert wurde, das in " Verschlüsseln von Verbindungen mit SQL Server" beschrieben wird, indem Sie ein Zertifikat importieren. Dieser Artikel enthält die Verfahren zum Verschlüsseln von Verbindungen mit SQL Server für weniger häufige Szenarien, die in verschlüsselnden Verbindungen mit SQL Server durch Importieren eines Zertifikats nicht behandelt werden.
Hinweis
Eine vollständige Liste der Teilnehmer im Microsoft Trusted Root Program finden Sie unter Teilnehmerliste: Microsoft Trusted Root Program.
Verwenden eines von einem öffentlichen kommerziellen Zertifizierungsstelle ausgestellten Zertifikats, wobei nur einige Clients verschlüsselte Verbindungen benötigen
Konfigurieren Sie das Zertifikat gemäß des unter Schritt 1: Konfigurieren von SQL Server für die Verwendung von Zertifikaten beschriebenen dokumentierten Verfahrens auf SQL Server.
Legen Sie das Verschlüsselungsschlüsselwort in den Verbindungseigenschaften auf Ja oder True fest. Wenn Sie beispielsweise Microsoft ODBC Driver for SQL Server verwenden, sollte die Verbindungszeichenfolge
Encrypt=yes;angeben.
Verwenden eines Zertifikats, das von einer internen Zertifizierungsstelle ausgestellt oder mit New-SelfSignedCertificate oder makecert erstellt wurde
Szenario 1: Sie möchten alle Verbindungen mit SQL Server verschlüsseln
Nach Abschluss der beiden verfahren, die in Schritt 1 dokumentiert sind: Konfigurieren von SQL Server für die Verwendung von Zertifikaten und Schritt 2: Konfigurieren von Verschlüsselungseinstellungen in SQL Server im Artikel Verschlüsseln von Verbindungen mit SQL Server durch Importieren eines Zertifikats verwenden Sie eine der folgenden Optionen, um Ihre Clientanwendung für die Verschlüsselung zu konfigurieren.
Option 1: Konfigurieren Sie Clientanwendungen für das Vertrauenswürdige Serverzertifikat. Diese Einstellung führt dazu, dass der Client den Schritt zum Überprüfen des Serverzertifikats überspringt und mit dem Verschlüsselungsprozess fortfährt. Wenn Sie z. B. SQL Server Management Studio (SSMS) 20 und höhere Versionen verwenden, können Sie Trust Server Certificate auf der Seite Anmeldung (oder auf der Seite Optionen in früheren Versionen) auswählen.
Option 2: Fügen Sie auf jedem Client die ausstellende Zertifizierungsstelle zum Speicher der vertrauenswürdigen Stammzertifizierungsstelle hinzu, indem Sie die folgenden Schritte ausführen:
Exportieren Sie das Zertifikat von einem Computer, auf dem SQL Server ausgeführt wird, mithilfe des unter Exportieren des Serverzertifikats dokumentierten Verfahrens.
Importieren Sie das Zertifikat mithilfe des Verfahrens, das in Export- und Importzertifikaten dokumentiert ist.
Szenario 2: Nur einige Clients benötigen verschlüsselte Verbindungen
Nachdem Sie das Zertifikat für die Verwendung von SQL Server gemäß Schritt 1 in Schritt 1 in "Verschlüsseln von Verbindungen mit SQL Server durch Importieren eines Zertifikats" konfiguriert haben, verwenden Sie eine der folgenden Optionen, um Ihre Clientanwendung für die Verschlüsselung zu konfigurieren:
Option 1: Konfigurieren Sie Clientanwendungen so, dass sie dem Serverzertifikat vertrauen, und legen Sie das Verschlüsselungsschlüsselwort in den Verbindungseigenschaften auf Ja oder Wahr fest. Wenn Sie beispielsweise Microsoft ODBC Driver for SQL Server verwenden, sollte die Verbindungszeichenfolge Encrypt=Yes;TrustServerCertificate=Yes; angeben.
Weitere Informationen zu Serverzertifikaten und zur Verschlüsselung finden Sie unter Verwenden von „TrustServerCertificate“.
Option 2: Fügen Sie auf jedem Client die Stelle, die das Zertifikat ausstellt, dem Speicher der vertrauenswürdigen Stammzertifizierungsstellen hinzu, und legen Sie die Verschlüsselungsparameter in der Verbindungszeichenfolge auf Ja fest:
Exportieren Sie das Zertifikat mithilfe des unter Exportieren des Zertifikats dokumentierten Verfahrens von einem Computer, auf dem SQL Server ausgeführt wird.
Legen Sie das Verschlüsselungsschlüsselwort in den Verbindungseigenschaften auf Ja oder True fest. Wenn Sie beispielsweise Microsoft OLEDB Driver for SQL Server verwenden, sollte die Verbindungszeichenfolge Verschlüsselung für Daten verwenden = True angeben.
Verwenden des automatisch von SQL Server erstellten selbstsignierten Zertifikats
Szenario 1: Sie möchten alle eingehenden Verbindungen mit SQL Server verschlüsseln
Aktivieren Sie die Verschlüsselung auf SQL Server mithilfe des Verfahrens Schritt 2: Konfigurieren von Verschlüsselungseinstellungen in SQL Server , die in Verschlüsseln von Verbindungen mit SQL Server dokumentiert sind, indem Sie ein Zertifikat importieren.
Konfigurieren Sie Clientanwendungen so, dass sie dem Serverzertifikat vertrauen. Dem Serverzertifikat zu vertrauen führt dazu, dass der Client den Schritt zum Überprüfen des Serverzertifikats überspringt und mit dem Verschlüsselungsprozess fortfährt. Wenn Sie z. B. SQL Server Management Studio (SSMS) 20 und höhere Versionen verwenden, können Sie Trust Server Certificate auf der Seite Anmeldung (oder auf der Seite Optionen in früheren Versionen) auswählen.
Szenario 2: Nur einige Clients benötigen verschlüsselte Verbindungen
Konfigurieren Sie Clientanwendungen so, dass sie dem Serverzertifikat vertrauen, und legen Sie das Verschlüsselungsschlüsselwort in den Verbindungseigenschaften auf Ja oder True fest. Wenn Sie beispielsweise Microsoft ODBC Driver for SQL Server verwenden, sollte die Verbindungszeichenfolge Encrypt=Yes;TrustServerCertificate=Yes; angeben.
Für dieses Szenario ist keine zusätzliche Konfiguration auf SQL Server erforderlich.
Warnung
TLS/SSL-Verbindungen, die mit einem selbstsignierten Zertifikat verschlüsselt sind, bieten keine starke Sicherheit, da die Länge des Schlüssels in den selbstsignierten Zertifikaten kürzer ist als der Schlüssel in den von der Zertifizierungsstelle generierten Zertifikaten. Sie sind anfällig für Man-in-the-Middle-Angriffe. Sie sollten sich nicht auf TLS/SSL verlassen, indem Sie selbstsignierte Zertifikate in einer Produktionsumgebung oder auf Servern verwenden, die mit dem Internet verbunden sind.