Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
Ez a cikk a transport layer security (TLS) protokollal és a digitális tanúsítványokkal kapcsolatos részleteket ismerteti.
Szállítási réteg biztonság (TLS)
A TLS- és SSL-protokollok az alkalmazásprotokoll-réteg és a TCP/IP-réteg között találhatók, ahol biztonságossá tehetik és elküldhetik az alkalmazásadatokat az átviteli rétegnek. A TLS-/SSL-protokollok a titkosítási csomagból származó algoritmusokat használnak kulcsok létrehozásához és az információk titkosításához. Az ügyfél és a kiszolgáló egyezteti a titkosításhoz használandó protokollverziót és titkosítási csomagot a kapcsolatlétrehozás kezdeti (bejelentkezés előtti) fázisában. A TLS-kézfogás mindig a legmagasabb támogatott TLS-verziót részesíti előnyben. A Windows operációs rendszerek különböző verziói által támogatott TLS-protokollok verzióinak ellenőrzéséhez tekintse meg a TLS/SSL protokollok (Schannel SSP) című témakört. Számos ismert biztonsági rést jelentettek az SSL és a TLS korábbi verziói ellen. Javasoljuk, hogy frissítsen a TLS 1.2-re a biztonságos kommunikáció érdekében.
Az SQL Server TLS használatával titkosíthatja az SQL Server egy példánya és egy ügyfélalkalmazás között hálózaton keresztül továbbított adatokat. A TLS tanúsítványt használ a titkosítás implementálásához.
A TLS-titkosítás engedélyezése növeli az SQL Server példányai és az alkalmazások közötti hálózatokon keresztül továbbított adatok biztonságát. Ha azonban az SQL Server és az ügyfélalkalmazás közötti összes forgalom TLS használatával van titkosítva, a következő további feldolgozásra van szükség:
- A csatlakozáskor további hálózati kerekítésre van szükség.
- Az alkalmazásból az SQL Server példányának küldött csomagokat az ügyfél TLS-veremnek kell titkosítania, és vissza kell fejtenie a kiszolgáló TLS-vermének.
- Az SQL Server-példányból az alkalmazásba küldött csomagokat a kiszolgáló TLS-veremének kell titkosítania, és vissza kell fejtenie az ügyfél TLS-veremével.
Fontos
Az SQL Server 2016 -tól kezdve (13.x) a Secure Sockets Layer (SSL) megszűnt. Használja inkább a TLS-t (a TLS 1.2 használata ajánlott). További információ: A Microsoft SQL Server TLS 1.2-támogatása. Az SQL Server 2022 támogatja a TLS 1.3-at. További információ: TLS 1.3 támogatása. Ha nem léteznek egyező protokollok az ügyfél és a kiszolgáló számítógépe között, a távoli gazdagép kényszerítetten bezárt meglévő kapcsolatban leírt hibába ütközhet.
Digitális tanúsítvány áttekintése
A digitális tanúsítványok olyan elektronikus fájlok, amelyek online jelszóként működnek a felhasználó vagy a számítógép identitásának ellenőrzéséhez. Az ügyfélkommunikációhoz használt titkosított csatorna létrehozására szolgálnak. A tanúsítvány olyan digitális nyilatkozat, amelyet egy hitelesítésszolgáltató (CA) állít ki, amely a tanúsítványtulajdonos személyazonosságát biztosítja, és lehetővé teszi a felek számára, hogy titkosítással biztonságosan kommunikáljanak.
A digitális tanúsítványok a következő szolgáltatásokat nyújtják:
- Titkosítás: Segítenek megvédeni a kicserélt adatokat a lopással vagy illetéktelen módosítással szemben.
- Hitelesítés: Ellenőrzik, hogy a tulajdonosuk (személyek, webhelyek, vagy akár hálózati eszközök, például útválasztók) valóban ki vagy minek vallják magukat. A hitelesítés általában egyirányú, ahol a forrás ellenőrzi a cél identitását, de kölcsönös TLS-hitelesítés is lehetséges.
A tanúsítványok nyilvános kulcsot tartalmaznak, és ezt a nyilvános kulcsot a megfelelő titkos kulcsot tartalmazó személy, számítógép vagy szolgáltatás identitásához csatolják. A nyilvános és a titkos kulcsokat az ügyfél és a kiszolgáló használja az adatok titkosítására az átvitel előtt. Windows-felhasználók, számítógépek és szolgáltatások esetén a hitelesítésszolgáltató megbízhatósága akkor jön létre, ha a főtanúsítvány a megbízható főtanúsítvány-tárolóban van definiálva, és a tanúsítvány érvényes hitelesítési útvonalat tartalmaz. A tanúsítvány akkor tekinthető érvényesnek, ha még nem vonták vissza (nem szerepel a hitelesítésszolgáltató tanúsítvány-visszavonási listáján vagy CRL-jében), vagy lejárt.
A digitális tanúsítványok három elsődleges típusát az alábbi táblázat ismerteti:
| Típus | Leírás | Előnyök | Hátrányok |
|---|---|---|---|
| Önaláírt tanúsítvány | A tanúsítványt az azt létrehozó alkalmazás írja alá, vagy a New-SelfSignedCertificate használatával hozza létre. | Költség (ingyenes) | – A tanúsítványt nem megbízhatók automatikusan az ügyfélszámítógépek és a mobileszközök. A tanúsítványt manuálisan kell hozzáadni a megbízható főtanúsítvány-tárolóhoz minden ügyfélszámítógépen és eszközön, de nem minden mobileszköz engedélyezi a megbízható főtanúsítvány-tároló módosítását. – Nem minden szolgáltatás működik önaláírt tanúsítványokkal. – Nehéz létrehozni egy infrastruktúrát a tanúsítvány életciklus-felügyeletéhez. Az önaláírt tanúsítványok például nem vonhatók vissza. |
| Belső hitelesítésszolgáltató által kibocsátott tanúsítvány | A tanúsítványt a szervezet nyilvános kulcsú infrastruktúrája (PKI) állítja ki. Ilyen például az Active Directory Tanúsítványszolgáltatások (AD CS). További információkért tekintse meg az Active Directory tanúsítványszolgáltatások áttekintését. | – Lehetővé teszi a szervezetek számára, hogy saját tanúsítványokat adjanak ki. - Olcsóbb, mint a kereskedelmi hitelesítésszolgáltatótól származó tanúsítványok. |
- A PKI üzembe helyezésének és karbantartásának összetettsége. – A tanúsítványt nem megbízhatók automatikusan az ügyfélszámítógépek és a mobileszközök. A tanúsítványt manuálisan kell hozzáadni a megbízható főtanúsítvány-tárolóhoz minden ügyfélszámítógépen és eszközön, de nem minden mobileszköz engedélyezi a megbízható főtanúsítvány-tároló módosítását. |
| Kereskedelmi hitelesítésszolgáltató által kiállított tanúsítvány | A tanúsítvány egy megbízható kereskedelmi hitelesítésszolgáltatótól vásárolható meg. | A tanúsítvány üzembe helyezése egyszerűbb, mert minden ügyfél, eszköz és kiszolgáló automatikusan megbízik a tanúsítványokban. | Költség. Előre kell terveznie, hogy minimálisra csökkentse a szükséges tanúsítványok számát. |
Annak igazolásához, hogy a tanúsítvány tulajdonosa az, akinek vallja magát, a tanúsítványnak pontosan azonosítania kell a tanúsítvány tulajdonosát más ügyfelek, eszközök vagy kiszolgálók számára. Ennek három alapvető módszerét az alábbi táblázat ismerteti:
| Metódus | Leírás | Előnyök | Hátrányok |
|---|---|---|---|
| Tanúsítvány tulajdonosának egyezése | A tanúsítvány Tulajdonos mezőjében a gazdagép köznapi neve (CN) szerepel. Például a kibocsátott www.contoso.com tanúsítvány használható a webhelyhez https://www.contoso.com. |
- Kompatibilis az összes ügyféllel, eszközzel és szolgáltatással. - Térelválasztó. A gazdagép tanúsítványának visszavonása nem érinti a többi gazdagépet. |
- A szükséges tanúsítványok száma. A tanúsítványt csak a megadott gazdagéphez használhatja. Például nem használhatja a www.contoso.com tanúsítványt ftp.contoso.com, még akkor sem, ha a szolgáltatások ugyanazon a kiszolgálón vannak telepítve.-Bonyolultság. Egy webkiszolgálón minden tanúsítványhoz saját IP-címkötés szükséges. |
| A tanúsítvány tulajdonosának alternatív neve (SAN) egyezik | A Tulajdonos mező mellett a tanúsítvány Tulajdonos alternatív neve mezője több gazdagépnevet is tartalmaz. Például:www.contoso.comftp.contoso.comftp.eu.fabrikam.net |
-Kényelem. Ugyanazt a tanúsítványt több gazdagéphez is használhatja több, különálló tartományban. – A legtöbb ügyfél, eszköz és szolgáltatás támogatja a SAN-tanúsítványokat. - Naplózás és biztonság. Pontosan tudja, hogy mely gazdagépek képesek a SAN-tanúsítvány használatára. |
- További tervezésre van szükség. A tanúsítvány létrehozásakor meg kell adnia a gazdagépek listáját. - A térelválasztó hiánya. Egyes megadott gazdagépek tanúsítványait nem vonhatja vissza szelektíven anélkül, hogy a tanúsítvány összes gazdagépét érintené. |
| Helyettesítő karakterek tanúsítványegyezése | A tanúsítvány Tulajdonos mezője helyettesítő karakterként (*) és egyetlen tartományként vagy altartományként tartalmazza a köznapi nevet. Például, *.contoso.com vagy *.eu.contoso.com. A *.contoso.com helyettesítő tanúsítvány a következő célokra használható:www.contoso.comftp.contoso.commail.contoso.com |
Rugalmasság. A tanúsítvány kérésekor nem kell megadnia a gazdagépek listáját, és a tanúsítványt tetszőleges számú gazdagépen használhatja, amelyekre a jövőben szüksége lehet. | – Helyettesítő tanúsítványok nem használhatók más legfelső szintű tartományokkal (TLD-kkel). A gazdagépekhez például nem használhat *.contoso.com helyettesítő tanúsítványt *.contoso.net .– A helyettesítő karakterek szintjén csak helyettesítő tanúsítványokat használhat a gazdagépnevekhez. Például nem használhatja a tanúsítványt *.contoso.com.www.eu.contoso.com Vagy nem használhatja a tanúsítványt *.eu.contoso.com a következőhöz www.uk.eu.contoso.com: .– Előfordulhat, hogy a régebbi ügyfelek, eszközök, alkalmazások vagy szolgáltatások nem támogatják a helyettesítő tanúsítványokat. – A helyettesítő karakterek nem érhetők el kiterjesztett érvényesítési (EV) tanúsítványokkal. - Gondos naplózásra és ellenőrzésre van szükség. Ha a helyettesítő tanúsítvány sérült, az a megadott tartomány összes gazdagépére hatással van. |