TLS 1.3-támogatás

A következőkre vonatkozik: Az SQL Server 2022 (16.x) és újabb verziói az Azure SQL DatabaseAzure SQL Managed InstanceSQL-adatbázist a Microsoft Fabricben

Az SQL Server (kezdve az SQL Server 2022 (16.x) verzióval), az Azure SQL Database és az Azure SQL Managed Instance támogatja a Transport Layer Security (TLS) 1.3-at, ha a Tabular Data Stream (TDS) 8.0 kerül alkalmazásra.

Fontos

A TDS-kapcsolatok TLS 1.3-ás támogatása esetén is szükség van a TLS 1.2-re az SQL Server műholdas szolgáltatásainak elindításához. Ne tiltsa le a TLS 1.2-t a gépen.

Az SQL Server 2019 (15.x) és a korábbi verziók nem támogatják a TLS 1.3-at.

Különbségek a TLS 1.2 és a TLS 1.3 között

A TLS 1.3 a kézfogási fázisban kettőről egyre csökkenti a körutazások számát, így gyorsabb és biztonságosabb, mint a TLS 1.2. A kiszolgálótanúsítványt tartalmazó kiszolgálói hello csomag titkosítva van, és az 1-RTT folytatás megszűnik, helyette az ügyfél kulcsmegosztásán alapuló 0-RTT folytatás kerül alkalmazásra. A TLS 1.3 hozzáadott biztonsága bizonyos titkosítások és algoritmusok megszakításából ered.

Íme a TLS 1.3-ban eltávolított algoritmusok és titkosítások listája:

• RC4 stream titkosítása
• RSA-kulcscsere
• SHA-1 kivonatoló függvény
• CBC (blokk) módú titkosítások
• MD5 algoritmus
• Különböző nem létező Diffie-Hellman csoportok
• EXPORT-erősségű titkosítások
• DES
• 3DES

Illesztőprogram-támogatás

Tekintse át az illesztőprogramok támogatási mátrixát annak megállapításához, hogy mely illesztőprogramok támogatják jelenleg a TLS 1.3-at.

Operációs rendszer támogatása

Jelenleg a következő operációs rendszerek támogatják a TLS 1.3-at:

• Windows 11
• Windows Server 2022

AZ SQL Server 2025 támogatása

Az SQL Server 2025 (17.x) TLS 1.3-támogatást nyújt a következő funkciókhoz:

• SQL Server-ügynök
• Always On rendelkezésre állási csoportok
• Always On feladatátvevő fürtpéldányok (FCI)
• Csatolt kiszolgálók
• tranzakciós replikáció
• Egyesítő replikáció
• Snapshot-replikáció
• Napló szállítása
• Adatbázisposta

Beállítási korlátozások

Az SQL Server 2025 beállítása meghiúsul, ha a TLS 1.3 az egyetlen TLS-verzió, amely engedélyezve van az operációs rendszeren. A telepítési folyamat megköveteli, hogy a TLS 1.2 elérhető legyen a telepítés során. A telepítés befejezése után szükség esetén a TLS 1.2 le is tiltható.

A telepítés során a következő hibaüzenet jelenik meg: A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)

Tanúsítványkövetelmények

A TDS 8.0 SQL Server 2025-kel való használatakor a tanúsítványra vonatkozó követelményeknek meg kell felelnie:

• Megbízható tanúsítványok: A tanúsítványokat megbízható hitelesítésszolgáltatónak (CA) kell kiállítania. Az önaláírt tanúsítványok alapértelmezés szerint nem fogadhatók el az SQL Server 19-es verziójához készült Microsoft OLE DB-illesztőprogrammal.
• Tanúsítványérvényesítés: TrustServerCertificate a következő értékre kell állítani: False vagy No. Az SQL Server 19-es verziójához készült Microsoft OLE DB-illesztőprogram ellenőrzi a tanúsítvány megbízhatósági láncát, és a tanúsítványérvényesítés nem megkerülhető.
• A tulajdonos alternatív nevének (SAN) követelményei: A tanúsítványoknak tartalmazniuk kell a teljes tartománynevet (FQDN) és a Netbios-nevet is a SAN-listában. Az SQL Server Management Studio (SSMS) gyakran használ Netbios-neveket a csatlakozáskor, és a hiányzó bejegyzések érvényesítési hibákat okoznak.
• San-bejegyzések tervezése: A tanúsítvány kibocsátásakor vegye fel az összes lehetséges klienskonektivitási nevet (teljes tartománynév, NetBIOS-név, szolgáltatásaliasok). A nevek későbbi hozzáadásához létre kell hoznia egy új tanúsítványt, és újra kell indítania az SQL Server-példányt.

A tanúsítványérvényesítéssel kapcsolatos további információkért lásd: Titkosítás és tanúsítványérvényesítés – OLE DB-illesztő az SQL Serverhez.

Biztonságos alapértelmezett konfigurációk az SQL Server 2025-ben

Az SQL Server 2025 több olyan szolgáltatáshoz is bevezeti az alapértelmezett biztonsági beállításokat, amelyek a TDS 8.0-t használják alapértelmezés szerint engedélyezett titkosítással:

• SQL Server-ügynök: A Microsoft OLE DB-illesztőprogramot használja az SQL Server 19-es Encrypt=Mandatory verziójához, és érvényes kiszolgálói tanúsítványokat igényel a következővel TrustServerCertificate=False: . Ha csak a TLS 1.3 verzió van engedélyezve, konfigurálnia kell Encrypt=Strict-t (szigorú titkosítás kényszerítése).

• Always On rendelkezésre állási csoportok és FCI-k: Alapértelmezés szerint az ODBC Driver for SQL Server 18-as verzióját használja Encrypt=Mandatory. Más funkcióktól eltérően az Always On rendelkezésre állási csoportok és FCI-k lehetővé teszik TrustServerCertificate=True az önaláírt forgatókönyveket.

• Csatolt kiszolgálók: Alapértelmezés szerint a Microsoft OLE DB Illesztőprogramot használja az SQL Server 19-es verziójához Encrypt=Mandatory . A titkosítási paramétert meg kell adni a kapcsolati sztringben egy másik SQL Server-példány megcélzásakor.

• Naplószállítás: A Microsoft OLE DB illesztőprogram 19-es verzióját használja az SQL Serverhez, és érvényes kiszolgálótanúsítványokra van szükség. Ha egy alacsonyabb verzióról helyszíni frissítést végez, amely nem támogatja a legújabb biztonsági konfigurációkat, és ha a titkosítási beállítások nincsenek kifejezetten felülbírálva egy biztonságosabb lehetőséggel, akkor a naplóátvitel használni fogja a TrustServerCertificate=True-t a visszamenőleges kompatibilitás érdekében. A TLS 1.3 és Encrypt=Strict a TDS 8.0 frissítés utáni érvényesítéséhez távolítsa el és hozza létre újra a topológiát a naplóátviteli tárolt eljárások frissített paramétereivel.

• Replikáció: (Tranzakciós, snapshot, összevonás) A Microsoft OLE DB illesztőprogramot használja az SQL Server verzió 19-hez Encrypt=Mandatory, és érvényes tanúsítványokat igényel TrustServerCertificate=False.

• Database Mail: Az alapértelmezett beállítások a következők Encrypt=Optional : és TrustServerCertificate=True. A TLS 1.3 kényszerítésekor ezek az értékek a következőkre változnak Encrypt=Strict : és TrustServerCertificate=False. Alapértelmezés szerint a felügyelt Azure SQL-példány a TLS 1.3 protokollt használja.

• PolyBase: Az SQL Server 18-as verziójához az ODBC-illesztőprogramot használja Encrypt=Yes (Mandatory). A PolyBase lehetővé teszi TrustServerCertificate=True az önaláírt forgatókönyveket.

• SQL VSS-író: Amikor a Encryption=StrictSQL Server 2025 példányhoz csatlakozik, az SQL VSS-író a TLS 1.3-at és a TDS 8.0-t fogja használni a kapcsolat VDI-n kívüli részére.

Összetevőkre vonatkozó követelmények

• SQL Server Agent with TLS 1.3: Szigorú titkosítást (TDS 8.0) kell használnia, ha a TLS 1.3 az egyetlen engedélyezett verzió. Az alacsonyabb titkosítási beállítások (Mandatory vagy Optional) csatlakozási hibákat eredményeznek.

• SQL Server Agent T-SQL-feladatok: A helyi példányhoz csatlakozó SQL Server Agent T-SQL-feladatok öröklik az SQL Server-ügynök titkosítási beállításait.

• PowerShell-modulok: SQLPS.exe és az SQLPS PowerShell-modul jelenleg nem támogatott a TDS 8.0-hoz.

• Always On rendelkezésre állási csoportok és FCI-k: A TDS 8.0 szigorú titkosításának konfigurálásához használja a CLUSTER_CONNECTION_OPTIONS záradékot és a Encrypt=Strict feladatátvitelt a beállítások alkalmazásához.

Kapcsolódó tartalom

• TDS 8.0
• Csatlakozás az SQL Serverhez szigorú titkosítással
• A TLS 1.3 konfigurálása