Herstellen einer Verbindung mit SQL Server mit dem Verschlüsselungstyp „Strict“

Gilt für: SQL Server 2022 (16.x) und höhere Versionen

Die Nutzung der Verbindungsverschlüsselung vom Typ „Strict“ erzwingt bewährte Sicherheitsmethoden und ermöglicht die Verwaltung des SQL Server-Datenverkehrs mit Standardnetzwerkappliances.

In diesem Artikel erfahren Sie, wie Sie mithilfe des strengen Verbindungstyps eine Verbindung mit SQL Server 2022 (16.x) und höheren Versionen herstellen.

Voraussetzungen

• SQL Server 2022 (16.x) oder höher
• ODBC- oder OLE DB-Treiber für SQL Server
  • ODBC-Treiber für SQL Server: ab Version 18.1.2.1
  • OLE DB-Treiber für SQL Server: ab Version 19.2.0
• Erstellen und Installieren eines TLS-Zertifikats auf SQL Server. Weitere Informationen finden Sie unter Aktivieren von verschlüsselten Verbindungen mit der Datenbank-Engine.

Herstellen einer Verbindung mit SQL Server mithilfe einer .NET-Anwendung

Informationen zum Herstellen einer Verbindung mit SQL Server mithilfe des Verschlüsselungstyps strict und zum ordnungsgemäßen Erstellen der Verbindungszeichenfolge finden Sie unter Verbindungszeichenfolgensyntax. Weitere Informationen zu den neuen Eigenschaften für Verbindungszeichenfolgen finden Sie unter Zusätzliche Änderungen an den Eigenschaften für die Verschlüsselung von Verbindungszeichenfolgen.

Herstellen einer Verbindung mithilfe eines ODBC-DSN

Sie können eine mit dem Verschlüsselungstyp Strict verschlüsselte Verbindung mit SQL Server mit einem ODBC-DSN testen.

1. Suchen Sie in Windows nach der App für ODBC-Datenquellen.

   

2. Vergewissern Sie sich auf der Registerkarte Treiber des ODBC-Datenquellenadministrators, dass Sie über den neuesten ODBC-Treiber verfügen.

   

3. Klicken Sie auf der Registerkarte System-DSN auf Hinzufügen, um einen DSN zu erstellen. Wählen Sie anschließend den ODBC-Treiber 18 für SQL Server aus. Wählen Sie Fertig stellen aus. Wir werden dies nutzen, um unsere Verbindung zu testen.

4. Geben Sie im Fenster Neue Datenquelle für SQL Server erstellen einen Namen für diese Datenquelle an, und fügen Sie für Server den Servernamen Ihrer SQL Server 2022-Instanz (16.x) hinzu. Wählen Sie Weiter aus.

   

5. Verwenden Sie für alle Einstellungen die Standardwerte, bis Sie zum Bildschirm mit dem Feld Verbindungsverschlüsselung gelangen. Wählen Sie die Option Strict aus. Wenn der von Ihnen eingegebene Servername nicht dem Namen im Zertifikat entspricht oder wenn stattdessen die IP-Adresse verwendet wird, geben Sie für Hostname im Zertifikat den in Ihrem Zertifikat verwendeten Namen an. Wählen Sie Fertig stellen aus.

   

6. Klicken Sie im Dialogfeld ODBC Microsoft SQL Server-Setup auf die Schaltfläche Datenquelle testen, um die Verbindung zu testen. Dadurch sollte die Verbindung vom Typ strict mit SQL Server für diesen Test erzwungen werden.

Herstellen einer Verbindung mithilfe von Universal Data Link

Sie können die Verbindung mit SQL Server mit dem Verschlüsselungstyp strict auch mithilfe des OLE DB-Treibers mit Universal Data Link (UDL) testen.

1. Wenn Sie eine UDL-Datei zum Testen der Verbindung erstellen möchten, klicken Sie mit der rechten Maustaste auf den Desktop, und wählen Sie Neu>Textdokument aus. Ändern Sie die Erweiterung von txt in udl. Geben Sie der Datei einen beliebigen Namen.

   Hinweis

   Zum Ändern der Erweiterung von txt in udl muss der Erweiterungsname angezeigt werden. Wird die Erweiterung nicht angezeigt, klicken Sie auf Datei-Explorer>Ansicht>Anzeigen>Dateinamenerweiterungen.

2. Öffnen Sie die von Ihnen erstellte UDL-Datei. Wechseln Sie zur Registerkarte Anbieter, und wählen Sie den Microsoft OLE DB-Treiber 19 für SQL Server aus. Wählen Sie Weiter>> aus.

   

3. Geben Sie auf der Registerkarte Verbindung den Servernamen Ihrer SQL Server-Instanz ein, und wählen Sie die Authentifizierungsmethode aus, die Sie für die Anmeldung bei SQL Server verwenden.

   

4. Wählen Sie auf der Registerkarte Erweitert für Verbindungsverschlüsselung die Option Strict aus. Wenn der von Ihnen eingegebene Servername nicht dem Namen im Zertifikat entspricht oder wenn stattdessen die IP-Adresse verwendet wird, geben Sie für Hostname im Zertifikat den in Ihrem Zertifikat verwendeten Namen an. Wechseln Sie zurück zur Registerkarte Verbindung, wenn Sie fertig sind.

   

5. Klicken Sie auf Verbindung testen, um die Verbindung mit der Verbindungsverschlüsselung strict zu testen.

   

Herstellen einer Verbindung mit SSMS

Ab Version 20 können Sie strenge Verschlüsselung in SQL Server Management Studio (SSMS) auf der Registerkarte " Anmeldungen " im Dialogfeld " Verbindung mit Server herstellen" erzwingen:

Verbindung zu einer Always On-Verfügbarkeitsgruppe herstellen

Ab SQL Server 2025 (17.x) können Sie die Kommunikation zwischen dem Windows Server-Failovercluster und einem Always On-Verfügbarkeitsgruppenreplikat entweder mithilfe des Verschlüsselungstyps Strict oder Mandatory der Verbindungsverschlüsselung verschlüsseln. Ihre Verfügbarkeitsgruppe kann verschlüsselung nur erzwingen, wenn sie auf einem Windows Server-Failovercluster basiert. Andere Arten von Verfügbarkeitsgruppen unterstützen keine strenge Verschlüsselung.

Die Schritte unterscheiden sich, je nachdem, ob Ihre Verfügbarkeit bereits besteht oder nicht.

Neue AG

Führen Sie die folgenden Schritte aus, um eine strenge Verschlüsselung für eine neue Verfügbarkeitsgruppe zu erzwingen:

1. Falls noch nicht geschehen, importieren Sie das TLS-Zertifikat gemäß den Zertifikatanforderungen in jedes Replikat der Verfügbarkeitsgruppe. Starten Sie jede SQL Server-Instanz nach dem Importieren des Zertifikats neu.
2. Testen Sie Verbindungen mit jedem SQL Server-Replikat mithilfe einer der in diesem Artikel erwähnten Methoden, die verschlüsselung erzwingen.
3. CREATE AVAILABILITY GROUP mit der Eigenschaft Encrypt, die auf Strict in der CLUSTER_CONNECTION_OPTIONS-Klausel für die Verfügbarkeitsgruppe festgelegt ist. Dadurch wird sichergestellt, dass alle Verbindungen mit der Verfügbarkeitsgruppe den angegebenen Verschlüsselungstyp verwenden.
4. Wenn die Verfügbarkeitsgruppe derzeit online ist, verschieben Sie sie auf ein sekundäres Replikat, um die neuen Verschlüsselungseinstellungen auf die Verfügbarkeitsgruppe anzuwenden. Wenn die Verfügbarkeitsgruppe nicht online geht, könnte es daran liegen, dass ClusterConnectionOptions nicht richtig festgelegt ist. Überprüfen Sie die cluster.log auf ODBC-Fehler im Zusammenhang mit dem Cluster, bei dem keine Verbindung mit dem SQL Server-Replikat hergestellt werden kann. Optional können Sie die Verfügbarkeitsgruppe zurück zum ursprünglichen primären Replikat zurückschlagen, nachdem das neue sekundäre Replikat online und mit der Verfügbarkeitsgruppe verbunden ist.
5. (Optional) Sie können die Verschlüsselung weiter erzwingen, indem Sie die Option " Strenge Verschlüsselung erzwingen " Yes in den SQL Server-Konfigurations-Manager-Eigenschaften für das Verbindungsprotokoll für jedes Replikat festlegen. Diese Einstellung stellt sicher, dass alle Verbindungen mit den Verfügbarkeitsgruppenreplikaten strenge Verschlüsselung verwenden. Starten Sie jedes SQL Server-Replikat neu, nachdem Sie diese Einstellung geändert haben.

Bestehende AG

Bevor Sie mit der Konfiguration Ihrer vorhandenen Verfügbarkeitsgruppe für eine strenge Verschlüsselung beginnen, führen Sie die Schritte beim Rollout von Upgrades während eines Wartungsfensters aus, um Ausfallzeiten zu minimieren und Datenverluste zu vermeiden.

Führen Sie die folgenden Schritte während eines Wartungsfensters aus, um Ihre vorhandene Verfügbarkeitsgruppe für eine strenge Verschlüsselung zu konfigurieren:

1. Falls noch nicht geschehen, importieren Sie das TLS-Zertifikat gemäß den Zertifikatanforderungen in jedes sekundäre Replikat der Verfügbarkeitsgruppe. Starten Sie jedes sekundäre SQL Server-Replikat nach dem Importieren des Zertifikats neu.
2. Testen Sie Verbindungen mit jedem SQL Server-Replikat mithilfe einer der in diesem Artikel erwähnten Methoden, die verschlüsselung erzwingen.
3. Führen Sie ein Failover für die Verfügbarkeitsgruppe auf eines der sekundären Replikas durch, mit denen Sie gerade verbunden sind. Dadurch wird es zum neuen primären Replikat.
4. Importieren Sie das TLS-Zertifikat in das neue sekundäre Replikat, das als primäres Replikat verwendet wurde. Starten Sie die SQL Server-Instanz nach dem Importieren des Zertifikats neu.
5. Aktualisieren Sie die Verbindungszeichenfolgen der Clientanwendung, um eine Verbindung zur Verfügbarkeitsgruppe mit aktivierter Verschlüsselung herzustellen.
6. ALTER AVAILABILITY GROUP mit der CLUSTER_CONNECTION_OPTIONS Klausel zum Festlegen der Encrypt Eigenschaft auf Mandatory oder Strict. Dadurch wird sichergestellt, dass alle Verbindungen mit der Verfügbarkeitsgruppe den angegebenen Verschlüsselungstyp verwenden.
7. Wenn die Verfügbarkeitsgruppe derzeit online ist, sollte sie auf ein sekundäres Replikat umgeschaltet werden, um die neuen Verschlüsselungseinstellungen auf die Verfügbarkeitsgruppe anzuwenden. Wenn die Verfügbarkeitsgruppe nicht online geht, könnte ClusterConnectionOptions möglicherweise nicht richtig konfiguriert sein. Überprüfen Sie die cluster.log auf ODBC-Fehler im Zusammenhang mit dem Cluster, bei dem keine Verbindung mit dem SQL Server-Replikat hergestellt werden kann. Optional können Sie die Verfügbarkeitsgruppe zurück zum ursprünglichen primären Replikat zurückschlagen, nachdem das neue sekundäre Replikat online und mit der Verfügbarkeitsgruppe verbunden ist.
8. (Optional) Sie können die Verschlüsselung weiter erzwingen, indem Sie die Option " Strenge Verschlüsselung erzwingen " Yes in den SQL Server-Konfigurations-Manager-Eigenschaften für das Verbindungsprotokoll für jedes Replikat festlegen. Diese Einstellung stellt sicher, dass alle Verbindungen mit den Verfügbarkeitsgruppenreplikaten strenge Verschlüsselung verwenden. Starten Sie jedes SQL Server-Replikat neu, nachdem Sie diese Einstellung geändert haben.

Verbindung zu einer Failoverclusterinstanz herstellen

Ab SQL Server 2025 (17.x) können Sie die Kommunikation zwischen Ihrem Windows Server-Failovercluster und einer Always On-Failoverclusterinstanz mithilfe des - oder -Verschlüsselungstyps für Verbindungen verschlüsseln. Gehen Sie dazu wie folgt vor:

1. Falls noch nicht geschehen, importieren Sie das TLS-Zertifikat gemäß den Zertifikatanforderungen in jeden Knoten des Failoverclusters. Starten Sie die SQL Server-Instanz nach dem Importieren des Zertifikats neu.
2. Testen Sie Verbindungen mit der Failoverclusterinstanz mithilfe einer der in diesem Artikel erwähnten Methoden, die Verschlüsselung erzwingen.
3. ALTER SERVER CONFIGURATION mit der CLUSTER_CONNECTION_OPTIONS Klausel, um die Encrypt Eigenschaft auf Mandatory oder Strict zu setzen. Dadurch wird sichergestellt, dass alle Verbindungen mit der Failoverclusterinstanz den angegebenen Verschlüsselungstyp verwenden.
4. Überführen Sie die Instanz zu einem sekundären Knoten, um die neuen Verschlüsselungseinstellungen auf die Failover-Cluster-Instanz anzuwenden. Sollte die Failoverclusterinstanz nicht online gehen, könnte es daran liegen, dass das ClusterConnectionOptions nicht korrekt konfiguriert ist. Überprüfen Sie die cluster.log auf ODBC-Fehler im Zusammenhang mit dem Cluster, bei der keine Verbindung mit der SQL Server-Instanz hergestellt werden kann. Optionalerweise können Sie die Instanz auf den ursprünglichen primären Knoten zurückverlagern, wenn der neue sekundäre Knoten online ist und mit der Failover-Clusterinstanz verbunden ist.
5. (Optional) Sie können die Verschlüsselung weiter erzwingen, indem Sie die Option " Strenge Verschlüsselung erzwingen " Yes in den SQL Server-Konfigurations-Manager-Eigenschaften für das Verbindungsprotokoll für jeden Knoten im Cluster festlegen. Diese Einstellung stellt sicher, dass alle Verbindungen mit der Failoverclusterinstanz strenge Verschlüsselung verwenden. Nehmen Sie diese Änderung auf dem sekundären Knoten vor, übertragen Sie die Instanz darauf, und nehmen Sie dann die Änderung auf dem primären Knoten vor.

Erzwingen der strengen Verschlüsselung mit SQL Server-Konfigurations-Manager

Sie können strenge Verschlüsselung mit sql Server Configuration Manager ab SQL Server 2022 (16.x) erzwingen. Führen Sie dazu die folgenden Schritte aus:

1. Öffnen Sie SQL Server-Konfigurations-Manager.

2. Erweitern Sie im linken Bereich die SQL Server-Netzwerkkonfiguration, und wählen Sie "Protokolle für [InstanceName]" aus.

3. Klicken Sie mit der rechten Maustaste auf TCP/IP, und wählen Sie "Eigenschaften" aus.

4. Wechseln Sie im Dialogfeld "TCP/IP-Eigenschaften " zur Registerkarte " Flags ", und wählen Sie dann "Ja " für die Option " Strenge Verschlüsselung erzwingen " aus:

   

5. Starten Sie die SQL Server-Instanz während eines Wartungsfensters neu, um die Änderungen anzuwenden.

Hinweise

Wird SSL certificate validation failed angezeigt, überprüfen Sie Folgendes:

• Das Serverzertifikat muss für den Computer gültig sein, den Sie für den Test verwenden.
• Mindestens eine der folgenden Optionen muss zutreffen:
  • Der angegebene SQL Server-Name stimmt mit dem Zertifizierungsstellennamen oder einem der DNS-Namen im Zertifikat überein.
  • Die HostNameInCertificate-Eigenschaft der Verbindungszeichenfolge stimmt mit dem Zertifizierungsstellennamen oder einem der DNS-Namen im Zertifikat überein.

Verwandte Inhalte

• TDS 8.0
• Konfigurieren von TLS 1.3