Herstellen einer Verbindung mit SQL Server mit dem Verschlüsselungstyp „Strict“

Gilt für: SQL Server 2022 (16.x)

Die Nutzung der Verbindungsverschlüsselung vom Typ „Strict“ erzwingt bewährte Sicherheitsmethoden und ermöglicht die Verwaltung des SQL Server-Datenverkehrs mit Standardnetzwerkappliances.

In diesem Artikel erfahren Sie, wie Sie mithilfe des strengen Verbindungstyps eine Verbindung mit SQL Server 2022 (16.x) und höheren Versionen herstellen.

Voraussetzungen

• SQL Server 2022 (16.x) oder höher
• ODBC- oder OLE DB-Treiber für SQL Server
  • ODBC-Treiber für SQL Server: ab Version 18.1.2.1
  • OLE DB-Treiber für SQL Server: ab Version 19.2.0
• Erstellen und Installieren eines TLS-Zertifikats auf SQL Server. Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Verbindungen mit der Datenbank-Engine.

Herstellen einer Verbindung mit SQL Server mithilfe einer .NET-Anwendung

Informationen zum Herstellen einer Verbindung mit SQL Server mithilfe des Verschlüsselungstyps strict und zum ordnungsgemäßen Erstellen der Verbindungszeichenfolge finden Sie unter Verbindungszeichenfolgensyntax. Weitere Informationen zu den neuen Eigenschaften für Verbindungszeichenfolgen finden Sie unter Zusätzliche Änderungen an den Eigenschaften für die Verschlüsselung von Verbindungszeichenfolgen.

Herstellen einer Verbindung mithilfe eines ODBC-DSN

Sie können eine mit dem Verschlüsselungstyp Strict verschlüsselte Verbindung mit SQL Server mit einem ODBC-DSN testen.

1. Suchen Sie in Windows nach der App für ODBC-Datenquellen.

   

2. Vergewissern Sie sich auf der Registerkarte Treiber des ODBC-Datenquellenadministrators, dass Sie über den neuesten ODBC-Treiber verfügen.

   

3. Klicken Sie auf der Registerkarte System-DSN auf Hinzufügen, um einen DSN zu erstellen. Wählen Sie anschließend den ODBC-Treiber 18 für SQL Server aus. Wählen Sie Fertig stellen aus. Mit diesem Treiber werden Sie die Verbindung testen.

4. Geben Sie im Fenster Neue Datenquelle für SQL Server erstellen einen Namen für diese Datenquelle an, und fügen Sie für Server den Servernamen Ihrer SQL Server 2022-Instanz (16.x) hinzu. Wählen Sie Weiter aus.

   

5. Verwenden Sie für alle Einstellungen die Standardwerte, bis Sie zum Bildschirm mit dem Feld Verbindungsverschlüsselung gelangen. Wählen Sie die Option Strict aus. Wenn der von Ihnen eingegebene Servername nicht dem Namen im Zertifikat entspricht oder wenn stattdessen die IP-Adresse verwendet wird, geben Sie für Hostname im Zertifikat den in Ihrem Zertifikat verwendeten Namen an. Wählen Sie Fertig stellen aus.

   

6. Klicken Sie im Dialogfeld ODBC Microsoft SQL Server-Setup auf die Schaltfläche Datenquelle testen, um die Verbindung zu testen. Dadurch sollte die Verbindung vom Typ strict mit SQL Server für diesen Test erzwungen werden.

Herstellen einer Verbindung mithilfe von Universal Data Link

Sie können die Verbindung mit SQL Server mit dem Verschlüsselungstyp strict auch mithilfe des OLE DB-Treibers mit Universal Data Link (UDL) testen.

1. Wenn Sie eine UDL-Datei zum Testen der Verbindung erstellen möchten, klicken Sie mit der rechten Maustaste auf den Desktop, und wählen Sie Neu>Textdokument aus. Ändern Sie die Erweiterung von txt in udl. Geben Sie der Datei einen beliebigen Namen.

   Hinweis

   Zum Ändern der Erweiterung von txt in udl muss der Erweiterungsname angezeigt werden. Wird die Erweiterung nicht angezeigt, klicken Sie auf Datei-Explorer>Ansicht>Anzeigen>Dateinamenerweiterungen.

2. Öffnen Sie die von Ihnen erstellte UDL-Datei. Wechseln Sie zur Registerkarte Anbieter, und wählen Sie den Microsoft OLE DB-Treiber 19 für SQL Server aus. Wählen Sie Weiter>> aus.

   

3. Geben Sie auf der Registerkarte Verbindung den Servernamen Ihrer SQL Server-Instanz ein, und wählen Sie die Authentifizierungsmethode aus, die Sie für die Anmeldung bei SQL Server verwenden.

   

4. Wählen Sie auf der Registerkarte Erweitert für Verbindungsverschlüsselung die Option Strict aus. Wenn der von Ihnen eingegebene Servername nicht dem Namen im Zertifikat entspricht oder wenn stattdessen die IP-Adresse verwendet wird, geben Sie für Hostname im Zertifikat den in Ihrem Zertifikat verwendeten Namen an. Wechseln Sie zurück zur Registerkarte Verbindung.

   

5. Klicken Sie auf Verbindung testen, um die Verbindung mit der Verbindungsverschlüsselung strict zu testen.

   

Herstellen einer Verbindung mit SSMS

Ab Version 20 können Sie strenge Verschlüsselung in SQL Server Management Studio (SSMS) auf der Registerkarte " Anmeldungen " im Dialogfeld " Verbindung mit Server herstellen" erzwingen:

Herstellen einer Verbindung mit einer AlwaysOn-Verfügbarkeitsgruppe

Ab SQL Server 2025 (17.x) können Sie die Kommunikation zwischen dem Windows Server-Failovercluster und einem Always On-Verfügbarkeitsgruppenreplikat entweder mithilfe des Verschlüsselungstyps Strict oder Mandatory der Verbindungsverschlüsselung verschlüsseln. Ihre Verfügbarkeitsgruppe kann verschlüsselung nur erzwingen, wenn sie auf einem Windows Server-Failovercluster basiert. Andere Arten von Verfügbarkeitsgruppen unterstützen keine strenge Verschlüsselung.

Die Schritte unterscheiden sich je nachdem, ob Ihre Verfügbarkeit bereits vorhanden ist.

Neue AG

Führen Sie die folgenden Schritte aus, um eine strenge Verschlüsselung für eine neue Verfügbarkeitsgruppe zu erzwingen:

1. Falls noch nicht geschehen, importieren Sie das TLS-Zertifikat gemäß den Zertifikatanforderungen in jedes Replikat der Verfügbarkeitsgruppe. Starten Sie jede SQL Server-Instanz nach dem Importieren des Zertifikats neu.
2. Testen Sie Verbindungen mit jedem SQL Server-Replikat mithilfe einer der in diesem Artikel erwähnten Methoden, die verschlüsselung erzwingen.
3. CREATE AVAILABILITY GROUP mit der Eigenschaft, die Encrypt in der Strict Klausel für die Verfügbarkeitsgruppe festgelegt istCLUSTER_CONNECTION_OPTIONS. Dadurch wird sichergestellt, dass alle Verbindungen mit der Verfügbarkeitsgruppe den angegebenen Verschlüsselungstyp verwenden.
4. Wenn die Verfügbarkeitsgruppe derzeit online ist, schlägt die Verfügbarkeitsgruppe auf ein sekundäres Replikat fehl, um die neuen Verschlüsselungseinstellungen auf die Verfügbarkeitsgruppe anzuwenden. Wenn die Verfügbarkeitsgruppe nicht online verfügbar ist, ist dies ClusterConnectionOptions möglicherweise nicht richtig festgelegt. Überprüfen Sie die cluster.log auf ODBC-Fehler im Zusammenhang mit dem Cluster, bei dem keine Verbindung mit dem SQL Server-Replikat hergestellt werden kann. Optional können Sie die Verfügbarkeitsgruppe zurück zum ursprünglichen primären Replikat zurückschlagen, nachdem das neue sekundäre Replikat online und mit der Verfügbarkeitsgruppe verbunden ist.
5. (Optional) Sie können die Verschlüsselung weiter erzwingen, indem Sie die Option " Strenge Verschlüsselung erzwingen " Yes in den SQL Server Configuration Manager-Eigenschaften für das Verbindungsprotokoll für jedes Replikat festlegen. Diese Einstellung stellt sicher, dass alle Verbindungen mit den Verfügbarkeitsgruppenreplikaten strenge Verschlüsselung verwenden. Starten Sie jedes SQL Server-Replikat neu, nachdem Sie diese Einstellung geändert haben.

Bestehende AG

Bevor Sie mit der Konfiguration Ihrer vorhandenen Verfügbarkeitsgruppe für eine strenge Verschlüsselung beginnen, führen Sie die Schritte beim Rollout von Upgrades während eines Wartungsfensters aus, um Ausfallzeiten zu minimieren und Datenverluste zu vermeiden.

Führen Sie die folgenden Schritte während eines Wartungsfensters aus, um Ihre vorhandene Verfügbarkeitsgruppe für eine strenge Verschlüsselung zu konfigurieren:

1. Falls noch nicht geschehen, importieren Sie das TLS-Zertifikat gemäß den Zertifikatanforderungen in jedes sekundäre Replikat der Verfügbarkeitsgruppe. Starten Sie jedes sekundäre SQL Server-Replikat nach dem Importieren des Zertifikats neu.
2. Testen Sie Verbindungen mit jedem SQL Server-Replikat mithilfe einer der in diesem Artikel erwähnten Methoden, die verschlüsselung erzwingen.
3. Failover der Verfügbarkeitsgruppe auf eines der sekundären Replikate, mit denen Sie gerade verbunden sind. Dadurch wird es zum neuen primären Replikat.
4. Importieren Sie das TLS-Zertifikat in das neue sekundäre Replikat, das als primäres Replikat verwendet wurde. Starten Sie die SQL Server-Instanz nach dem Importieren des Zertifikats neu.
5. Aktualisieren Sie Clientanwendungsverbindungszeichenfolgen, um eine Verbindung mit der Verfügbarkeitsgruppe mit erzwungener Verschlüsselung herzustellen.
6. ALTER AVAILABILITY GROUP mit der CLUSTER_CONNECTION_OPTIONS Klausel zum Festlegen der Encrypt Eigenschaft auf Mandatory oder Strict. Dadurch wird sichergestellt, dass alle Verbindungen mit der Verfügbarkeitsgruppe den angegebenen Verschlüsselungstyp verwenden.
7. Wenn die Verfügbarkeitsgruppe derzeit online ist, schlägt die Verfügbarkeitsgruppe auf ein sekundäres Replikat fehl, um die neuen Verschlüsselungseinstellungen auf die Verfügbarkeitsgruppe anzuwenden. Wenn die Verfügbarkeitsgruppe nicht online verfügbar ist, ist dies ClusterConnectionOptions möglicherweise nicht richtig festgelegt. Überprüfen Sie die cluster.log auf ODBC-Fehler im Zusammenhang mit dem Cluster, bei dem keine Verbindung mit dem SQL Server-Replikat hergestellt werden kann. Optional können Sie die Verfügbarkeitsgruppe zurück zum ursprünglichen primären Replikat zurückschlagen, nachdem das neue sekundäre Replikat online und mit der Verfügbarkeitsgruppe verbunden ist.
8. (Optional) Sie können die Verschlüsselung weiter erzwingen, indem Sie die Option " Strenge Verschlüsselung erzwingen " Yes in den SQL Server Configuration Manager-Eigenschaften für das Verbindungsprotokoll für jedes Replikat festlegen. Diese Einstellung stellt sicher, dass alle Verbindungen mit den Verfügbarkeitsgruppenreplikaten strenge Verschlüsselung verwenden. Starten Sie jedes SQL Server-Replikat neu, nachdem Sie diese Einstellung geändert haben.

Herstellen einer Verbindung mit einer Failoverclusterinstanz

Ab SQL Server 2025 (17.x) können Sie die Kommunikation zwischen Ihrem Windows Server-Failovercluster und einer Always On-Failoverclusterinstanz mithilfe des - oder -Verschlüsselungstyps für Verbindungen verschlüsseln. Gehen Sie dazu wie folgt vor:

1. Falls noch nicht geschehen, importieren Sie das TLS-Zertifikat gemäß den Zertifikatanforderungen in jeden Knoten des Failoverclusters. Starten Sie die SQL Server-Instanz nach dem Importieren des Zertifikats neu.
2. Testen Sie Verbindungen mit der Failoverclusterinstanz mithilfe einer der in diesem Artikel erwähnten Methoden, die Verschlüsselung erzwingen.
3. ALTER SERVER CONFIGURATION mit der CLUSTER_CONNECTION_OPTIONS Klausel, um die Encrypt Eigenschaft auf Mandatory oder Strict zu setzen. Dadurch wird sichergestellt, dass alle Verbindungen mit der Failoverclusterinstanz den angegebenen Verschlüsselungstyp verwenden.
4. Failover der Instanz auf einen sekundären Knoten, um die neuen Verschlüsselungseinstellungen auf die Failoverclusterinstanz anzuwenden. Wenn die Failoverclusterinstanz nicht online ist, kann dies nicht ClusterConnectionOptions richtig festgelegt werden. Überprüfen Sie die cluster.log auf ODBC-Fehler im Zusammenhang mit dem Cluster, bei der keine Verbindung mit der SQL Server-Instanz hergestellt werden kann. Optional können Sie die Instanz wieder an den ursprünglichen primären Knoten zurückschlagen, nachdem der neue sekundäre Knoten online ist und mit der Failoverclusterinstanz verbunden ist.
5. (Optional) Sie können die Verschlüsselung weiter erzwingen, indem Sie die Option " Strenge Verschlüsselung erzwingen " Yes in den SQL Server Configuration Manager-Eigenschaften für das Verbindungsprotokoll für jeden Knoten im Cluster festlegen. Diese Einstellung stellt sicher, dass alle Verbindungen mit der Failoverclusterinstanz strenge Verschlüsselung verwenden. Nehmen Sie diese Änderung auf dem sekundären Knoten vor, schlagen Sie die Instanz daran fehl, und nehmen Sie dann die Änderung auf dem primären Knoten vor.

Erzwingen der strengen Verschlüsselung mit SQL Server Configuration Manager

Sie können strenge Verschlüsselung mit sql Server Configuration Manager ab SQL Server 2022 (16.x) erzwingen. Führen Sie dazu die folgenden Schritte aus:

1. Öffnen Sie SQL Server Configuration Manager.

2. Erweitern Sie im linken Bereich die SQL Server-Netzwerkkonfiguration, und wählen Sie "Protokolle für [InstanceName]" aus.

3. Klicken Sie mit der rechten Maustaste auf TCP/IP, und wählen Sie "Eigenschaften" aus.

4. Wechseln Sie im Dialogfeld "TCP/IP-Eigenschaften " zur Registerkarte " Flags ", und wählen Sie dann "Ja " für die Option " Strenge Verschlüsselung erzwingen " aus:

   

5. Starten Sie die SQL Server-Instanz während eines Wartungsfensters neu, um die Änderungen anzuwenden.

Hinweise

Wird SSL certificate validation failed angezeigt, überprüfen Sie Folgendes:

• Das Serverzertifikat muss für den Computer gültig sein, den Sie für den Test verwenden.
• Mindestens eine der folgenden Optionen muss zutreffen:
  • Der angegebene SQL Server-Name stimmt mit dem Zertifizierungsstellennamen oder einem der DNS-Namen im Zertifikat überein.
  • Die HostNameInCertificate-Eigenschaft der Verbindungszeichenfolge stimmt mit dem Zertifizierungsstellennamen oder einem der DNS-Namen im Zertifikat überein.

Verwandte Inhalte

• TDS 8.0
• Konfigurieren von TLS 1.3