Freigeben über


Zusammenfassung der SQL Server- und Clientverschlüsselung

Dieser Artikel enthält eine Zusammenfassung der verschiedenen Szenarien und zugehörigen Verfahren zum Aktivieren der Verschlüsselung der Verbindungen mit SQL Server und zur Überprüfung der Funktion der Verschlüsselung.

Verschlüsseln aller Verbindungen mit dem Server (serverseitige Verschlüsselung)

Zertifikattyp Erzwingen der Verschlüsselung in Servereigenschaften Importieren des Serverzertifikats auf jedem Client Einstellung „Serverzertifikat vertrauen“ Verschlüsselungseigenschaft in der Verbindungszeichenfolge Kommentare
Selbstsigniertes Zertifikat – automatisch von SQL Server erstellt Ja Nicht möglich Ja Wird ignoriert. SQL Server 2016 (13.x) und frühere Versionen verwenden den SHA1-Algorithmus. SQL Server 2017 (14.x) und höhere Versionen verwenden SHA256. Weitere Informationen finden Sie unter Änderungen am Hashalgorithmus für ein selbstsigniertes Zertifikat in SQL Server 2017. Wir empfehlen diesen Ansatz nicht für die Verwendung in der Produktion.
Mit New-SelfSignedCertificate oder makecert erstelltes selbstsigniertes Zertifikat – Option 1 Ja Nein Ja Wird ignoriert. Wir empfehlen diesen Ansatz nicht für die Verwendung in der Produktion.
Mit New-SelfSignedCertificate oder makecert erstelltes selbstsigniertes Zertifikat – Option 2 Ja Ja Optional Wird ignoriert. Wir empfehlen diesen Ansatz nicht für die Verwendung in der Produktion.
Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle (ZS), die nicht in der Teilnehmerliste: Microsoft Trusted Root Program enthalten ist – Option 1 Ja Nein Ja Wird ignoriert.
Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle (ZS), die nicht in der Teilnehmerliste: Microsoft Trusted Root Program enthalten ist – Option 2 Ja Ja Optional Wird ignoriert.
Vertrauenswürdige Stammzertifizierungsstellen Ja Nein Optional Wird ignoriert. Dieser Ansatz wird empfohlen.

Verschlüsseln von Verbindungen von einem bestimmten Client

Zertifikattyp Erzwingen der Verschlüsselung in Servereigenschaften Importieren des Serverzertifikats auf jedem Client Angeben der Einstellung „Serverzertifikat vertrauen“ auf dem Client Manuelles Angeben von „Ja/True“ für die Verschlüsselungseigenschaft auf der Clientseite Kommentare
Selbstsigniertes Zertifikat – automatisch von SQL Server erstellt Ja Nicht möglich Ja Wird ignoriert. SQL Server 2016 (13.x) und frühere Versionen verwenden den SHA1-Algorithmus. SQL Server 2017 (14.x) und höhere Versionen verwenden SHA256. Weitere Informationen finden Sie unter Änderungen am Hashalgorithmus für ein selbstsigniertes Zertifikat in SQL Server 2017. Wir empfehlen diesen Ansatz nicht für die Verwendung in der Produktion.
Mit New-SelfSignedCertificate oder makecert erstelltes selbstsigniertes Zertifikat – Option 1 Nein Nein Ja Ja Wir empfehlen diesen Ansatz nicht für die Verwendung in der Produktion.
Mit New-SelfSignedCertificate oder makecert erstelltes selbstsigniertes Zertifikat – Option 2 Nein Ja Optional Ja Wir empfehlen diesen Ansatz nicht für die Verwendung in der Produktion.
Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle (ZS), die nicht in der Teilnehmerliste: Microsoft Trusted Root Program enthalten ist – Option 1 Nein Nein Ja Ja
Zertifikatserver des Unternehmens oder von einer Zertifizierungsstelle (ZS), die nicht in der Teilnehmerliste: Microsoft Trusted Root Program enthalten ist – Option 2 Nein Ja Optional Ja
Vertrauenswürdige Stammzertifizierungsstellen Nein Nein Optional Ja Dieser Ansatz wird empfohlen.

Wie erkenne ich, ob die Verschlüsselung funktioniert?

Sie können die Kommunikation mit einem Tool wie dem Microsoft-Netzwerkmonitor oder einem Netzwerk-Sniffer überwachen und die Details der im Tool erfassten Pakete überprüfen, um zu bestätigen, dass der Datenverkehr verschlüsselt ist.

Alternativ können Sie den Verschlüsselungsstatus von SQL Server-Verbindungen mithilfe der Transact-SQL-Befehle (T-SQL) überprüfen. Gehen Sie hierzu wie folgt vor:

  1. Öffnen Sie in SQL Server Management Studio (SSMS) ein neues Abfragefenster, und stellen Sie eine Verbindung mit der SQL Server-Instanz her.
  2. Führen Sie den folgenden T-SQL-Befehl aus, um den Wert der encrypt_option-Spalte zu überprüfen. Für verschlüsselte Verbindungen ist der Wert TRUE.
SELECT * FROM sys.dm_exec_connections

Siehe auch

Nächste Schritte