Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Zusammenfassung der verschiedenen Szenarien und zugehörigen Verfahren für die Aktivierung der Verschlüsselung für SQL Server und darüber hinaus, wie die Verschlüsselung funktioniert.
Verschlüsseln aller Verbindungen mit dem Server (serverseitige Verschlüsselung)
| Zertifikattyp | Erzwingen der Verschlüsselung in Servereigenschaften | Importieren des Serverzertifikats auf jedem Client | Sicherheitsserver-Zertifikateinstellung | Verschlüsseln der Eigenschaft in der Verbindungszeichenfolge | Kommentare |
|---|---|---|---|---|---|
| Selbstsigniertes Zertifikat – automatisch von SQL Server erstellt | Ja | Kann nicht ausgeführt werden | Ja | Wird ignoriert. | SQL Server 2016 (13.x) und frühere Versionen verwenden den SHA1-Algorithmus. SQL Server 2017 (14.x) und höhere Versionen verwenden SHA256. Weitere Informationen finden Sie unter Änderungen am Hashalgorithmus für selbstsignierte Zertifikate in SQL Server 2017. Wir empfehlen diesen Ansatz nicht für den Produktionseinsatz. |
| Selbstsigniertes Zertifikat, das mit New-SelfSignedCertificate oder makecert erstellt wurde – Option 1 | Ja | Nein | Ja | Wird ignoriert. | Wir empfehlen diesen Ansatz nicht für den Produktionseinsatz. |
| Selbstsigniertes Zertifikat, das mit New-SelfSignedCertificate oder makecert erstellt wurde – Option 2 | Ja | Ja | Wahlfrei | Wird ignoriert. | Wir empfehlen diesen Ansatz nicht für den Produktionseinsatz. |
| Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle, die sich nicht in der Teilnehmerliste befindet – Microsoft Trusted Root Program - Option 1 | Ja | Nein | Ja | Wird ignoriert. | |
| Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle, die sich nicht in der Teilnehmerliste befindet – Microsoft Trusted Root Program - Option 2 | Ja | Ja | Wahlfrei | Wird ignoriert. | |
| Vertrauenswürdige Stammzertifizierungsstellen | Ja | Nein | Wahlfrei | Wird ignoriert. | Dieser Ansatz wird empfohlen. |
Verschlüsseln von Verbindungen von einem bestimmten Client
| Zertifikattyp | Erzwingen der Verschlüsselung in Servereigenschaften | Importieren des Serverzertifikats auf jedem Client | Angeben der Zertifikateinstellung "Trust Server" auf dem Client | Manuelles Angeben der Verschlüsselungseigenschaft auf "Ja/True" auf clientseitiger Seite | Kommentare |
|---|---|---|---|---|---|
| Selbstsigniertes Zertifikat – automatisch von SQL Server erstellt | Ja | Kann nicht ausgeführt werden | Ja | Wird ignoriert. | SQL Server 2016 (13.x) und frühere Versionen verwenden den SHA1-Algorithmus. SQL Server 2017 (14.x) und höhere Versionen verwenden SHA256. Weitere Informationen finden Sie unter Änderungen am Hashalgorithmus für selbstsignierte Zertifikate in SQL Server 2017. Wir empfehlen diesen Ansatz nicht für den Produktionseinsatz. |
| Selbstsigniertes Zertifikat, das mit New-SelfSignedCertificate oder makecert erstellt wurde – Option 1 | Nein | Nein | Ja | Ja | Wir empfehlen diesen Ansatz nicht für den Produktionseinsatz. |
| Selbstsigniertes Zertifikat, das mit New-SelfSignedCertificate oder makecert erstellt wurde – Option 2 | Nein | Ja | Wahlfrei | Ja | Wir empfehlen diesen Ansatz nicht für den Produktionseinsatz. |
| Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle, die sich nicht in der Teilnehmerliste befindet – Microsoft Trusted Root Program - Option 1 | Nein | Nein | Ja | Ja | |
| Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle, die sich nicht in der Teilnehmerliste befindet – Microsoft Trusted Root Program - Option 2 | Nein | Ja | Wahlfrei | Ja | |
| Vertrauenswürdige Stammzertifizierungsstellen | Nein | Nein | Wahlfrei | Ja | Dieser Ansatz wird empfohlen. |
Wie kann man feststellen, ob die Verschlüsselung funktioniert?
Sie können die Kommunikation mit einem Tool wie Microsoft Network Monitor oder einem Netzwerksniffer überwachen und die Details der im Tool erfassten Pakete überprüfen, um zu bestätigen, dass der Datenverkehr verschlüsselt ist.
Alternativ können Sie den Verschlüsselungsstatus von SQL Server-Verbindungen mithilfe der Transact-SQL (T-SQL)-Befehle überprüfen. Gehen Sie dazu wie folgt vor:
- Öffnen Sie ein neues Abfragefenster in SQL Server Management Studio (SSMS), und stellen Sie eine Verbindung mit der SQL Server-Instanz her.
- Führen Sie den folgenden T-SQL-Befehl aus, um den Wert der
encrypt_optionSpalte zu überprüfen. Für verschlüsselte Verbindungen lautetTRUEder Wert .
SELECT * FROM sys.dm_exec_connections;