Menyambungkan ke SQL Server dengan enkripsi yang ketat

Berlaku untuk: SQL Server 2022 (16.x)

Enkripsi koneksi yang ketat memberlakukan praktik keamanan yang baik dan membuat lalu lintas SQL Server dapat dikelola oleh appliance jaringan standar.

Dalam artikel ini, pelajari cara menyambungkan ke SQL Server 2022 (16.x) dan versi yang lebih baru menggunakan jenis koneksi yang ketat.

Prasyarat

• SQL Server 2022 (16.x) atau yang lebih baru
• Driver ODBC atau OLE DB untuk SQL Server
  • Driver ODBC untuk SQL Server versi 18.1.2.1 atau yang lebih tinggi
  • Driver OLE DB untuk SQL Server versi 19.2.0 atau yang lebih tinggi
• Buat dan instal sertifikat TLS ke SQL Server. Untuk informasi selengkapnya, lihat Mengaktifkan koneksi terenkripsi ke Mesin Database

Menyambungkan ke SQL Server menggunakan aplikasi .NET

Untuk informasi tentang membangun dan menyambungkan ke SQL Server menggunakan strict jenis enkripsi, lihat Sintaks String Koneksi tentang cara membuat string koneksi dengan benar. Untuk informasi selengkapnya tentang properti string koneksi baru, lihat Perubahan tambahan pada properti enkripsi string koneksi.

Menyambungkan menggunakan ODBC DSN

Anda dapat menguji koneksi dengan Strict jenis enkripsi koneksi menggunakan ODBC DSN ke SQL Server.

1. Cari aplikasi Sumber Data ODBC di Windows.

   

2. Pastikan Anda memiliki driver ODBC terbaru dengan melihat di tab Driver Administrator Sumber Data ODBC.

   

3. Di tab DSN Sistem, pilih Tambahkan untuk membuat DSN. Kemudian pilih Driver ODBC 18 untuk SQL Server. Pilih Selesai. Kita akan menggunakan ini untuk menguji koneksi kita.

4. Di jendela Buat Sumber Data Baru ke SQL Server , berikan nama untuk sumber data ini, dan tambahkan nama server SQL Server 2022 (16.x) Anda ke Server. Pilih Selanjutnya.

   

5. Gunakan semua nilai default untuk semua pengaturan hingga Anda masuk ke layar yang memiliki Enkripsi Koneksi. Pilih Ketat. Jika nama server yang Anda masukkan berbeda dari yang ada di sertifikat atau jika alamat IP digunakan sebagai gantinya, atur HostName dalam sertifikat ke yang digunakan dalam sertifikat Anda. Pilih Selesai.

   

6. Saat kotak dialog Penyiapan ODBC Microsoft SQL Server muncul, pilih tombol Uji Sumber Data... untuk menguji koneksi. Ini harus memberlakukan strict koneksi ke SQL Server untuk pengujian ini.

Menyambungkan menggunakan Universal Data Link

Anda juga dapat menguji koneksi ke SQL Server dengan strict enkripsi menggunakan Driver OLE DB dengan Universal Data Link (UDL).

1. Untuk membuat file UDL untuk menguji koneksi Anda, klik kanan di desktop Anda, dan pilih Dokumen Teks Baru>. Anda harus mengubah ekstensi dari txt ke udl. Anda dapat memberikan nama file apa pun yang Anda inginkan.

   Catatan

   Anda harus dapat melihat nama ekstensi untuk mengubah ekstensi dari txt ke udl. Jika Anda tidak dapat melihat ekstensi, Anda dapat mengaktifkan tampilan ekstensi dengan membuka File name.

2. Buka file UDL yang Anda buat, dan buka tab Penyedia untuk memilih Microsoft OLE DB Driver 19 untuk SQL Server. Pilih Selanjutnya>>.

   

3. Pada tab Koneksi , masukkan nama server SQL Server Anda, dan pilih metode autentikasi yang Anda gunakan untuk masuk ke SQL Server.

   

4. Di tab Tingkat Lanjut , pilih Ketat untuk Enkripsi koneksi. Jika nama server yang Anda masukkan berbeda dari yang ada di sertifikat atau jika alamat IP digunakan sebagai gantinya, atur Nama host dalam sertifikat ke yang digunakan dalam sertifikat Anda. Kembali ke tab Koneksi saat Anda selesai.

   

5. Pilih Uji Koneksi untuk menguji koneksi dengan strict enkripsi koneksi.

   

Menyambungkan dengan SSMS

Dimulai dengan versi 20, Anda dapat menerapkan enkripsi ketat di SQL Server Management Studio (SSMS) pada tab Masuk dari kotak dialog Sambungkan ke Server :

Menyambungkan ke grup ketersediaan AlwaysOn

Dimulai dengan SQL Server 2025 (17.x), Anda dapat mengenkripsi komunikasi antara Kluster Failover Windows Server dan replika grup ketersediaan Always On menggunakan Strict atau Mandatory jenis enkripsi koneksi. Grup ketersediaan Anda hanya dapat memberlakukan enkripsi jika didasarkan pada Kluster Failover Windows Server. Jenis grup ketersediaan lainnya tidak mendukung enkripsi yang ketat.

Langkah-langkahnya berbeda berdasarkan apakah ketersediaan Anda sudah ada atau belum.

AG Baru

Untuk memaksa enkripsi ketat ke grup ketersediaan baru, ikuti langkah-langkah berikut:

1. Jika Anda belum melakukannya, impor sertifikat TLS ke setiap replika grup ketersediaan, seperti yang ditentukan oleh persyaratan sertifikat. Mulai ulang setiap instans SQL Server setelah mengimpor sertifikat.
2. Uji koneksi ke setiap replika SQL Server dengan menggunakan salah satu metode yang disebutkan dalam artikel ini yang memberlakukan enkripsi.
3. CREATE AVAILABILITY GROUP dengan properti diatur Encrypt ke StrictCLUSTER_CONNECTION_OPTIONS dalam klausul untuk grup ketersediaan. Ini memastikan bahwa semua koneksi ke grup ketersediaan menggunakan jenis enkripsi yang ditentukan.
4. Jika grup ketersediaan saat ini online, maka gagalkan grup ketersediaan ke replika sekunder untuk menerapkan pengaturan enkripsi baru ke grup ketersediaan. Jika grup ketersediaan gagal online, bisa jadi ClusterConnectionOptions grup tersebut tidak diatur dengan benar. Periksa cluster.log untuk kesalahan ODBC yang terkait dengan kluster yang gagal tersambung ke replika SQL Server. Secara opsional, Anda dapat menggagalkan grup ketersediaan kembali ke replika utama asli setelah replika sekunder baru online dan terhubung ke grup ketersediaan.
5. (Opsional) Anda selanjutnya dapat menerapkan enkripsi dengan mengatur opsi Paksa Enkripsi Ketat ke Yes di properti SQL Server Configuration Manager untuk protokol koneksi untuk setiap replika. Pengaturan ini memastikan bahwa semua koneksi ke replika grup ketersediaan menggunakan enkripsi yang ketat. Mulai ulang setiap replika SQL Server setelah mengubah pengaturan ini.

AG yang Ada

Sebelum Anda mulai mengonfigurasi grup ketersediaan yang ada untuk enkripsi yang ketat, ikuti langkah-langkah dalam peningkatan bergulir selama jendela pemeliharaan untuk meminimalkan waktu henti dan menghindari kehilangan data.

Untuk mengonfigurasi grup ketersediaan yang ada untuk enkripsi yang ketat, ikuti langkah-langkah ini selama jendela pemeliharaan:

1. Jika Anda belum melakukannya, impor sertifikat TLS ke setiap replika sekunder grup ketersediaan, seperti yang ditentukan oleh persyaratan sertifikat. Mulai ulang setiap replika SQL Server sekunder setelah mengimpor sertifikat.
2. Uji koneksi ke setiap replika SQL Server dengan menggunakan salah satu metode yang disebutkan dalam artikel ini yang memberlakukan enkripsi.
3. Failover grup ketersediaan ke salah satu replika sekunder yang baru saja Anda sambungkan. Ini akan menjadikannya replika utama baru.
4. Impor sertifikat TLS ke replika sekunder baru yang digunakan untuk menjadi replika utama. Mulai ulang instans SQL Server setelah mengimpor sertifikat.
5. Perbarui string koneksi aplikasi klien untuk menyambungkan ke grup ketersediaan dengan enkripsi yang diberlakukan.
6. UBAH GRUP KETERSEDIAAN dengan CLUSTER_CONNECTION_OPTIONS klausul untuk mengatur properti ke EncryptMandatory atau Strict. Ini memastikan bahwa semua koneksi ke grup ketersediaan menggunakan jenis enkripsi yang ditentukan.
7. Jika grup ketersediaan saat ini online, maka gagalkan grup ketersediaan ke replika sekunder untuk menerapkan pengaturan enkripsi baru ke grup ketersediaan. Jika grup ketersediaan gagal online, bisa jadi ClusterConnectionOptions grup tersebut tidak diatur dengan benar. Periksa cluster.log untuk kesalahan ODBC yang terkait dengan kluster yang gagal tersambung ke replika SQL Server. Secara opsional, Anda dapat menggagalkan grup ketersediaan kembali ke replika utama asli setelah replika sekunder baru online dan terhubung ke grup ketersediaan.
8. (Opsional) Anda selanjutnya dapat menerapkan enkripsi dengan mengatur opsi Paksa Enkripsi Ketat ke Yes di properti SQL Server Configuration Manager untuk protokol koneksi untuk setiap replika. Pengaturan ini memastikan bahwa semua koneksi ke replika grup ketersediaan menggunakan enkripsi yang ketat. Mulai ulang setiap replika SQL Server setelah mengubah pengaturan ini.

Menyambungkan ke instans kluster failover

Dimulai dengan SQL Server 2025 (17.x), Anda dapat mengenkripsi komunikasi antara Kluster Failover Windows Server dan instans kluster failover Always On menggunakan jenis enkripsi koneksi yang tersedia Strict atau Mandatory Untuk melakukan ini, ikuti langkah-langkah berikut:

1. Jika Anda belum melakukannya, impor sertifikat TLS ke setiap simpul kluster failover, seperti yang didefinisikan oleh persyaratan sertifikat. Mulai ulang instans SQL Server setelah mengimpor sertifikat.
2. Uji koneksi ke instans kluster failover dengan menggunakan salah satu metode yang disebutkan dalam artikel ini yang memberlakukan enkripsi.
3. UBAH KONFIGURASI SERVER dengan CLUSTER_CONNECTION_OPTIONS klausul untuk mengatur properti ke EncryptMandatory atau Strict. Ini memastikan bahwa semua koneksi ke instans kluster failover menggunakan jenis enkripsi yang ditentukan.
4. Gagalkan instans ke simpul sekunder untuk menerapkan pengaturan enkripsi baru ke instans kluster failover. Jika instans kluster failover gagal online, bisa jadi ClusterConnectionOptions tidak diatur dengan benar. Periksa cluster.log untuk kesalahan ODBC yang terkait dengan kluster yang gagal tersambung ke instans SQL Server. Secara opsional, Anda dapat gagal instans kembali ke node utama asli setelah node sekunder baru online dan terhubung ke instans kluster failover.
5. (Opsional) Anda selanjutnya dapat menerapkan enkripsi dengan mengatur opsi Paksa Enkripsi Ketat ke Yes di properti SQL Server Configuration Manager untuk protokol koneksi untuk setiap simpul dalam kluster. Pengaturan ini memastikan bahwa semua koneksi ke instans kluster failover menggunakan enkripsi ketat. Buat perubahan ini pada simpul sekunder, gagalkan instans ke simpul tersebut, lalu buat perubahan pada simpul utama.

Paksa enkripsi ketat dengan SQL Server Configuration Manager

Anda dapat menerapkan enkripsi ketat menggunakan SQL Server Configuration Manager yang dimulai dengan SQL Server 2022 (16.x). Untuk melakukannya, ikuti langkah-langkah berikut:

1. Buka Pengelola Konfigurasi SQL Server.

2. Di panel kiri, perluas Konfigurasi Jaringan SQL Server, dan pilih Protokol untuk [InstanceName].

3. Klik kanan pada TCP/IP, dan pilih Properti.

4. Dalam dialog Properti TCP/IP , buka tab Bendera , lalu pilih Ya untuk opsi Paksa Enkripsi Ketat :

   

5. Mulai ulang instans SQL Server selama jendela pemeliharaan untuk menerapkan perubahan.

Keterangan

Jika Anda melihat SSL certificate validation failed, validasi bahwa:

• Sertifikat server valid pada komputer yang Anda gunakan untuk pengujian
• Setidaknya salah satu hal berikut ini benar:
  • Penyedia SQL Server cocok dengan nama CA atau salah satu nama DNS dalam sertifikat.
  • HostNameInCertificatestring koneksi properti cocok dengan nama CA atau salah satu nama DNS dalam sertifikat.

Konten terkait

• TDS 8.0
• Mengonfigurasi TLS 1.3