Csatlakozás az SQL Serverhez szigorú titkosítással

A következőkre vonatkozik: SQL Server 2022 (16.x)

A szigorú kapcsolattitkosítás a helyes biztonsági eljárásokat kényszeríti ki, és az SQL Server forgalmát standard hálózati berendezésekkel felügyelhetővé teszi.

Ebből a cikkből megtudhatja, hogyan csatlakozhat az SQL Server 2022 (16.x) és újabb verzióihoz a szigorú kapcsolattípus használatával.

Előfeltétel

• SQL Server 2022 (16.x) vagy újabb
• ODBC- vagy OLE DB-illesztő az SQL Serverhez
  • ODBC-illesztő az SQL Server 18.1.2.1-es vagy újabb verziójához
  • OLE DB-illesztő az SQL Server 19.2.0-s vagy újabb verziójához
• TLS-tanúsítvány létrehozása és telepítése az SQL Serveren. További információ: Titkosított kapcsolatok engedélyezése az adatbázismotorral

Csatlakozás az SQL Serverhez .NET-alkalmazással

Az SQL Server titkosítási típussal történő kiépítéséről és az SQL Serverhez való csatlakozásról további információt a strictkapcsolati sztring szintaxisa című témakörben talál a kapcsolati sztring megfelelő összeállításáról. Az új kapcsolati sztring tulajdonságaival kapcsolatos további információkért lásd a kapcsolati sztring titkosítási tulajdonságainak további módosításait.

Csatlakozás ODBC DSN használatával

Az ODBC DSN és az Strict SQL Server közötti kapcsolat titkosítási típusával tesztelheti a kapcsolatot.

1. Keresse meg az ODBC Adatforrások alkalmazást a Windowsban.

   

2. Győződjön meg arról, hogy a legújabb ODBC-illesztőprogramot használja az ODBC adatforrás-rendszergazda Illesztőprogramok lapján.

   

3. A Rendszer DSN lapján válassza a Hozzáadás lehetőséget a DSN létrehozásához. Ezután válassza ki az SQL Server ODBC Driver 18-at. Válassza ki a Befejezésopciót. Ezzel teszteljük a kapcsolatot.

4. A Create a New Data Source to SQL Server (Új adatforrás létrehozása az SQL Serverhez ) ablakban adja meg az adatforrás nevét, és adja hozzá az SQL Server 2022 (16.x) kiszolgálónevét a Kiszolgálóhoz. Válassza a Következőlehetőséget.

   

5. Használja az összes alapértelmezett értéket az összes beállításhoz, amíg el nem ér a kapcsolattitkosítást tartalmazó képernyőre. Válassza a Szigorú lehetőséget. Ha a megadott kiszolgálónév eltér a tanúsítványban megadotttól, vagy ha az IP-címet használja, állítsa a tanúsítványban a HostName értéket a tanúsítványban használtra. Válassza ki a Befejezésopciót.

   

6. Amikor megjelenik az ODBC Microsoft SQL Server Telepítő párbeszédpanel, válassza az Adatforrás tesztelése... gombot a kapcsolat teszteléséhez. Ehhez a strict teszthez az SQL Serverrel való kapcsolatot kell kikényszeríteni.

Csatlakozás univerzális adatkapcsolattal

Az SQL Server-kapcsolat titkosítással strict is tesztelhető az univerzális adatkapcsolattal (UDL) rendelkező OLE DB-illesztővel.

1. Ha UDL-fájlt szeretne létrehozni a kapcsolat teszteléséhez, kattintson a jobb gombbal az asztalra, és válassza az Új>szövegdokumentum lehetőséget. A bővítményt a következőre txt kell módosítania udl: . Tetszőleges nevet adhat a fájlnak.

   Megjegyzés:

   Ahhoz, hogy a bővítményt txtudla következőre módosítsa, látnia kell a bővítmény nevét. Ha nem látja a bővítményt, engedélyezheti a bővítmény megtekintését a Fájlkezelő>Fájlnévkiterjesztések>> megnyitásával.

2. Nyissa meg a létrehozott UDL-fájlt, és lépjen a Szolgáltató lapra az SQL ServerHez készült Microsoft OLE DB Driver 19 kiválasztásához. Válassza a Tovább >>gombot.

   

3. A Kapcsolat lapon adja meg az SQL Server-kiszolgáló nevét, és válassza ki az SQL Serverbe való bejelentkezéshez használt hitelesítési módszert.

   

4. A Speciális lapon válassza a Szigorú kapcsolattitkosítás lehetőséget. Ha a megadott kiszolgálónév eltér a tanúsítványban megadotttól, vagy ha az IP-címet használja, állítsa a tanúsítvány gazdagépnevét a tanúsítványban használtra. Ha elkészült, lépjen vissza a Kapcsolat lapra.

   

5. Válassza a Kapcsolat tesztelése lehetőséget a kapcsolat titkosításának strict teszteléséhez.

   

Csatlakozás az SSMS-sel

A 20-es verziótól kezdve szigorú titkosítást kényszeríthet ki az SQL Server Management Studióban (SSMS) a Csatlakozás a kiszolgálóhoz párbeszédpanel Bejelentkezések lapján:

Csatlakozás Always On rendelkezésre állási csoporthoz

Az SQL Server 2025-től kezdve (17.x) titkosíthatja a Windows Server-feladatátvételi fürt és az Always On rendelkezésre állási csoport replika közötti kommunikációt a Strict vagy Mandatory kapcsolattitkosítási típus használva. A rendelkezésre állási csoport csak akkor tudja kikényszeríteni a titkosítást, ha az Windows Server feladatátvevő fürtön alapul. Más típusú rendelkezésre állási csoportok nem támogatják a szigorú titkosítást.

A lépések attól függően különböznek, hogy a rendelkezésre állás már létezik-e.

Új AG

Ha szigorú titkosítást szeretne kényszeríteni egy új rendelkezésre állási csoportra, kövesse az alábbi lépéseket:

1. Ha még nem tette meg, importálja a TLS-tanúsítványt a rendelkezésre állási csoport minden replikájába a tanúsítványkövetelmények által meghatározott módon. Indítsa újra az egyes SQL Server-példányokat a tanúsítvány importálása után.
2. Tesztelje az egyes SQL Server-replikák kapcsolatait a jelen cikkben említett módszerek egyikével, amely kikényszeríti a titkosítást.
3. CREATE AVAILABILITY GROUP with the Encrypt property set to Strict the CLUSTER_CONNECTION_OPTIONS clause for the availability group. Ez biztosítja, hogy a rendelkezésre állási csoporthoz tartozó összes kapcsolat a megadott titkosítási típust használja.
4. Ha a rendelkezésre állási csoport jelenleg online állapotban van, akkor a rendelkezésre állási csoport egy másodlagos replikán való átadásával alkalmazza az új titkosítási beállításokat a rendelkezésre állási csoportra. Ha a rendelkezésre állási csoport nem érhető el online állapotban, előfordulhat, hogy nem ClusterConnectionOptions megfelelően van beállítva. Ellenőrizze a cluster.log , hogy a fürttel kapcsolatos ODBC-hibák nem csatlakoznak-e az SQL Server-replikához. Ha az új másodlagos replika online állapotban van, és csatlakozik a rendelkezésre állási csoporthoz, a rendelkezésre állási csoport nem felel meg az eredeti elsődleges replikának.
5. (Nem kötelező) A titkosítás további kikényszerítéséhez állítsa be a Szigorú titkosítás kényszerítése beállítást Yes az SQL Server Configuration Manager tulajdonságaiban az egyes replikákhoz tartozó kapcsolati protokollhoz. Ez a beállítás biztosítja, hogy a rendelkezésre állási csoport replikáihoz tartozó összes kapcsolat szigorú titkosítást használjon. A beállítás módosítása után indítsa újra az egyes SQL Server-replikákat.

Meglévő AG

Mielőtt elkezdené konfigurálni a meglévő rendelkezésre állási csoportot a szigorú titkosításhoz, kövesse a karbantartási időszak alatti frissítési lépések lépéseit az állásidő minimalizálása és az adatvesztés elkerülése érdekében.

A meglévő rendelkezésre állási csoport szigorú titkosításhoz való konfigurálásához kövesse az alábbi lépéseket egy karbantartási időszak során:

1. Ha még nem tette meg, importálja a TLS-tanúsítványt a rendelkezésre állási csoport minden másodlagos replikájába, a tanúsítványkövetelményeknek megfelelően. Indítsa újra az egyes másodlagos SQL Server-replikákat a tanúsítvány importálása után.
2. Tesztelje az egyes SQL Server-replikák kapcsolatait a jelen cikkben említett módszerek egyikével, amely kikényszeríti a titkosítást.
3. A rendelkezésre állási csoport feladatátvétele az imént csatlakoztatott másodlagos replikák egyikére. Ez lesz az új elsődleges replika.
4. Importálja a TLS-tanúsítványt az elsődleges replikaként használt új másodlagos replikára. Indítsa újra az SQL Server-példányt a tanúsítvány importálása után.
5. Az ügyfélalkalmazás kapcsolati sztringjeinek frissítése a rendelkezésre állási csoporthoz való csatlakozáshoz kényszerített titkosítással.
6. A ALTER AVAILABILITY GROUP parancsot a CLUSTER_CONNECTION_OPTIONS záradékkal kell használni, hogy a Encrypt tulajdonságot Mandatory vagy Strict értékre állítsa be. Ez biztosítja, hogy a rendelkezésre állási csoporthoz tartozó összes kapcsolat a megadott titkosítási típust használja.
7. Ha a rendelkezésre állási csoport jelenleg online állapotban van, akkor a rendelkezésre állási csoport egy másodlagos replikán való átadásával alkalmazza az új titkosítási beállításokat a rendelkezésre állási csoportra. Ha a rendelkezésre állási csoport nem érhető el online állapotban, előfordulhat, hogy nem ClusterConnectionOptions megfelelően van beállítva. Ellenőrizze a cluster.log , hogy a fürttel kapcsolatos ODBC-hibák nem csatlakoznak-e az SQL Server-replikához. Ha az új másodlagos replika online állapotban van, és csatlakozik a rendelkezésre állási csoporthoz, a rendelkezésre állási csoport nem felel meg az eredeti elsődleges replikának.
8. (Nem kötelező) A titkosítás további kikényszerítéséhez állítsa be a Szigorú titkosítás kényszerítése beállítást Yes az SQL Server Configuration Manager tulajdonságaiban az egyes replikákhoz tartozó kapcsolati protokollhoz. Ez a beállítás biztosítja, hogy a rendelkezésre állási csoport replikáihoz tartozó összes kapcsolat szigorú titkosítást használjon. A beállítás módosítása után indítsa újra az egyes SQL Server-replikákat.

Csatlakozás feladatátvevő fürtpéldányhoz

Az SQL Server 2025 (17.x) kezdetével titkosíthatja a Windows Server feladatátvevő fürt és az Always On feladatátvevő fürtpéldány közötti kommunikációt a Strict vagy a Mandatory kapcsolattitkosítási típussal. Ehhez kövesse az alábbi lépéseket:

1. Ha még nem tette meg, importálja a TLS-tanúsítványt a feladatátvevő fürt minden csomópontjára, a tanúsítványkövetelmények által meghatározott módon. Indítsa újra az SQL Server-példányt a tanúsítvány importálása után.
2. Tesztelje a feladatátvevő fürtpéldány kapcsolatait a jelen cikkben említett, titkosítást kényszerítő módszerek egyikével.
3. ALTER SERVER CONFIGURATION a CLUSTER_CONNECTION_OPTIONS záradékkal a Encrypt tulajdonság beállításához Mandatory vagy Strict. Ez biztosítja, hogy a feladatátvevő fürtpéldányhoz tartozó összes kapcsolat a megadott titkosítási típust használja.
4. Az új titkosítási beállításoknak a feladatátvevő fürtpéldányra való alkalmazásához feladatátvételi feladatátvételt kell végrehajtania egy másodlagos csomóponton. Ha a feladatátvevő fürtpéldány nem érhető el online állapotban, lehet, hogy nincs ClusterConnectionOptions megfelelően beállítva. Ellenőrizze a cluster.log , hogy a fürttel kapcsolatos ODBC-hibák nem csatlakoznak-e az SQL Server-példányhoz. Ha szeretné, a példányt visszaállíthatja az eredeti elsődleges csomópontra, miután az új másodlagos csomópont online állapotban van, és csatlakozik a feladatátvevő fürtpéldányhoz.
5. (Nem kötelező) A titkosítás további kikényszerítéséhez állítsa be a Szigorú titkosítás kényszerítése beállítást Yes az SQL Server Configuration Manager tulajdonságaiban a fürt minden csomópontjának kapcsolati protokollja esetében. Ez a beállítás biztosítja, hogy a feladatátvevő fürtpéldányhoz kapcsolódó összes kapcsolat szigorú titkosítást használjon. Végezze el ezt a módosítást a másodlagos csomóponton, végezze el a példány feladatátvételét, majd végezze el a módosítást az elsődleges csomóponton.

Szigorú titkosítás kényszerítése az SQL Server Configuration Managerrel

Az SQL Server Configuration Managerrel szigorú titkosítást kényszeríthet ki az SQL Server 2022-től kezdve (16.x). Ehhez kövesse az alábbi lépéseket:

1. Nyissa meg az SQL Server Configuration Managert.

2. A bal oldali panelen bontsa ki az SQL Server hálózati konfigurációját, és válassza az [InstanceName] protokolljait.

3. Kattintson a jobb gombbal a TCP/IP-címre, és válassza a Tulajdonságok lehetőséget.

4. A TCP/IP-tulajdonságok párbeszédpanelen lépjen a Jelzők lapra, majd válassza az Igen lehetőséget a Szigorú titkosítás kényszerítése beállításhoz:

   

5. Indítsa újra az SQL Server-példányt egy karbantartási időszak alatt a módosítások alkalmazásához.

Megjegyzések

Ha megjelenik SSL certificate validation failed, ellenőrizze, hogy:

• A kiszolgálótanúsítvány érvényes a teszteléshez használt gépen
• Az alábbiak közül legalább az egyik igaz:
  • A szolgáltató SQL Server egyezik a hitelesítésszolgáltató nevével vagy a tanúsítványban szereplő DNS-nevek egyikével.
  • HostNameInCertificate a kapcsolati sztring tulajdonsága megegyezik a hitelesítésszolgáltató nevével vagy a tanúsítványban szereplő DNS-nevek egyikével.

Kapcsolódó tartalom

• TDS 8.0
• A TLS 1.3 konfigurálása