Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)
In diesem Thema wird beschrieben, wie Sie verschlüsselte Verbindungen für eine Instanz von SQL Server Database Engine (Datenbankmodul) durch Angeben eines Zertifikats für die Database Engine (Datenbankmodul) mithilfe des SQL Server-Konfigurations-Managers aktivieren können. Für den Servercomputer muss ein Zertifikat bereitgestellt worden sein, und der Clientcomputer muss so eingerichtet sein, dass er die Stammzertifizierungsstelle des Zertifikats als vertrauenswürdig einstuft. Zertifikate werden bereitgestellt, indem sie mithilfe eines Importvorgangs in Windows installiert werden.
Das Zertifikat muss für die Serverauthentifizierung ausgegeben sein. Der Name des Zertifikats muss der vollqualifizierte Domänenname (FQDN) des Computers sein.
Zertifikate werden lokal für diesen Benutzer auf dem Computer gespeichert. Um ein Zertifikat zur Verwendung durch SQL Server zu installieren, müssen Sie den SQL Server-Konfigurations-Manager unter dem gleichen Benutzerkonto ausführen wie den SQL Server-Dienst. Nur wenn der Dienst als LocalSystem, NetworkService oder LocalService ausgeführt wird, kann ein administratives Konto verwendet werden.
Der Client muss in der Lage sein, den Besitzer des vom Server verwendeten Zertifikats zu überprüfen. Wenn der Client über das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle verfügt, die das Serverzertifikat signiert hat, sind keine weiteren Konfigurationsschritte erforderlich. Microsoft Windows enthält die Zertifikate für öffentliche Schlüssel von vielen Zertifizierungsstellen. Wenn das Serverzertifikat von einer öffentlichen oder privaten Zertifizierungsstelle signiert wurde, für die der Client kein öffentliches Schlüsselzertifikat besitzt, müssen Sie das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle installieren, die das Serverzertifikat signiert hat.
Hinweis |
---|
Wenn Sie die Verschlüsselung bei einem Failovercluster verwenden möchten, müssen Sie das Serverzertifikat mit dem vollqualifizierten DNS-Namen des virtuellen Servers auf allen Knoten im Failovercluster installieren. Wenn Sie beispielsweise über einen Cluster mit zwei Knoten verfügen, wobei die Knotennamen test1.<your company>.com und test2.<your company>.com lauten, und ein virtueller Server den Namen "virtsql" trägt, müssen Sie ein Zertifikat für "virtsql.<your company>.com" auf beiden Knoten installieren. Sie können den Wert der Option ForceEncryptionauf Yes festlegen. |
In diesem Thema
So aktivieren Sie verschlüsselte Verbindungen
Bereitstellen (Installieren) eines Zertifikats auf dem Server
Exportieren des Serverzertifikats
Konfigurieren des Servers zum Annehmen verschlüsselter Verbindungen
Konfigurieren des Clients zum Anfordern verschlüsselter Verbindungen
Verschlüsseln einer Verbindung in SQL Server Management Studio
So stellen Sie ein Zertifikat auf dem Server bereit bzw. installieren Sie ein Zertifikat
Klicken Sie im Menü Start auf Ausführen, geben Sie in das Feld Öffnen den Wert MMC ein, und klicken Sie dann auf OK.
Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.
Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.
Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.
Klicken Sie im Dialogfeld Zertifikate-Snap-In auf Computerkonto, und klicken Sie dann auf Fertig stellen.
Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.
Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.
Erweitern Sie im Dialogfeld Zertifikate-Snap-In die Option Zertifikate, erweitern Sie Eigene Zertifikate, und klicken Sie dann mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren.
Ergänzen Sie die Angaben im Zertifikatimport-Assistenten, um dem Computer ein Zertifikat hinzuzufügen, und schließen Sie dann die MMC-Konsole. Weitere Informationen zum Hinzufügen von Zertifikaten zu einem Computer finden Sie in der Windows-Dokumentation.
[Nach oben]
So exportieren Sie das Serverzertifikat
Erweitern Sie im Zertifikate-Snap-In unter Zertifikate den Ordner Eigene Zertifikate, klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.
Führen Sie den Zertifikatexport-Assistenten aus, und speichern Sie die Zertifikatsdatei in einem geeigneten Speicherort.
[Nach oben]
So konfigurieren Sie den Server zum Annehmen verschlüsselter Verbindungen
Erweitern Sie im SQL Server-Konfigurations-Manager den Eintrag SQL Server-Netzwerkkonfiguration, klicken Sie mit der rechten Maustaste auf Protokolle für <server instance>, und klicken Sie dann aufEigenschaften.
Wählen Sie im Dialogfeld Eigenschaften von Protokolle für <instance name>auf der Registerkarte Zertifikat das gewünschte Zertifikat aus der Dropdownliste für das Feld Zertifikat aus, und klicken Sie dann auf OK.
Aktivieren Sie auf der Registerkarte Flags im Feld ForceEncryption die Option Ja, und klicken Sie dann auf OK, um das Dialogfeld zu schließen.
Starten Sie den SQL Server-Dienst neu.
[Nach oben]
So konfigurieren Sie den Client zum Anfordern verschlüsselter Verbindungen
Kopieren Sie entweder das Originalzertifikat oder die exportierte Zertifikatsdatei auf den Clientcomputer.
Installieren Sie auf dem Clientcomputer mithilfe des Zertifikat-Snap-Ins entweder das Stammzertifikat oder die exportierte Zertifikatsdatei.
Klicken Sie im Konsolenbereich mit der rechten Maustaste auf SQL Server Native Client-Konfiguration, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Seite Flags im Feld Protokollverschlüsselung erzwingen auf Ja.
[Nach oben]
So verschlüsseln Sie eine Verbindung in SQL Server Management Studio
Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden, und klicken Sie dann auf Datenbankmodul.
Vervollständigen Sie im Dialogfeld Verbindung mit Server herstellen die Verbindungseinstellungen, und klicken Sie dann auf Optionen.
Klicken Sie auf der Registerkarte Verbindungseigenschaften auf Verbindung verschlüsseln.
So greifen Sie über Windows 8 auf den SQL Server-Konfigurations-Manager zu
Da der SQL Server-Konfigurations-Manager ein Snap-In für das Microsoft-Verwaltungskonsolenprogramm und kein eigenständiges Programm ist, wird der SQL Server-Konfigurations-Manager beim Ausführen von Windows 8 nicht als Anwendung angezeigt. Um den SQL Server-Konfigurations-Manager zu öffnen, geben Sie im Charm Suchen unter Apps SQLServerManager11.msc (für SQL Server 2012) oder SQLServerManager10.msc (für SQL Server 2008) ein und drücken dann die EINGABETASTE.
[Nach oben]