Ondersteuning voor TLS 1.3

Van toepassing op: SQL Server 2022 (16.x) en latere versies Van Azure SQL DatabaseAzure SQL Managed InstanceSQL Database in Microsoft Fabric

SQL Server (vanaf SQL Server 2022 (16.x)), Azure SQL Database en Azure SQL Managed Instance ondersteunen Transport Layer Security (TLS) 1.3 wanneer TDS (Tabular Data Stream) 8.0 wordt gebruikt.

Belangrijk

Zelfs met TLS 1.3-ondersteuning voor TDS-verbindingen is TLS 1.2 nog steeds vereist voor het starten van SQL Server-satellietservices. Schakel TLS 1.2 niet uit op de computer.

SQL Server 2019 (15.x) en eerdere versies bieden geen ondersteuning voor TLS 1.3.

Verschillen tussen TLS 1.2 en TLS 1.3

TLS 1.3 vermindert het aantal retouren van twee naar één tijdens de handshakefase, waardoor het sneller en veiliger is dan TLS 1.2. Het hello-serverpakket met servercertificaat is versleuteld en één retourtijd (1-RTT) hervatting wordt stopgezet en vervangen door 0-RTT-hervatting op basis van de clientsleutelshare. De beveiliging van TLS 1.3 is afkomstig van het stopzetten van bepaalde coderingen en algoritmen.

Hier volgt een lijst met algoritmen en coderingen die zijn verwijderd in TLS 1.3:

• RC4-stroom cipher
• RSA-sleuteluitwisseling
• SHA-1-hashfunctie
• Coderingen in CBC-modus (blokmodus)
• MD5-algoritme
• Verschillende niet-tijdelijke Diffie-Hellman groepen
• EXPORTsterkte coderingen
• DES
• 3DES

Ondersteuning voor stuurprogramma's

Bekijk de matrix voor ondersteuning van stuurprogrammafuncties om te bepalen welke stuurprogramma's momenteel TLS 1.3 ondersteunen.

Ondersteuning voor besturingssystemen

Momenteel ondersteunen de volgende besturingssystemen TLS 1.3:

• Windows 11
• Windows Server 2022

Ondersteuning voor SQL Server 2025

SQL Server 2025 (17.x) introduceert TLS 1.3-ondersteuning voor de volgende functies:

• SQL Server Agent
• AlwaysOn-beschikbaarheidsgroepen
• AlwaysOn-failoverclusterexemplaren (FCI)
• Gekoppelde servers
• Transactionele replicatie
• Replicatie samenvoegen
• Momentopnamereplicatie
• Logboekverzending
• Database-e-mail

Beperkingen voor installatie

Installatie van SQL Server 2025 mislukt wanneer TLS 1.3 de enige TLS-versie is die is ingeschakeld op het besturingssysteem. Voor het installatieproces moet TLS 1.2 beschikbaar zijn tijdens de installatie. Nadat de installatie is voltooid, kan TLS 1.2 desgewenst worden uitgeschakeld.

Het foutbericht tijdens de installatie is: A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)

Certificaatvereisten

Wanneer u TDS 8.0 gebruikt met SQL Server 2025, moet aan specifieke certificaatvereisten worden voldaan:

• Vertrouwde certificaten: certificaten moeten worden uitgegeven door een vertrouwde certificeringsinstantie (CA). Zelfondertekende certificaten worden niet meer standaard geaccepteerd met Microsoft OLE DB-stuurprogramma voor SQL Server versie 19.
• Certificaatvalidatie: TrustServerCertificate moet worden ingesteld op False of No. Het Microsoft OLE DB-stuurprogramma voor SQL Server versie 19 valideert de vertrouwensketen van het certificaat en de certificaatvalidatie kan niet worden overgeslagen.
• San-vereisten (Subject Alternative Name): Certificaten moeten zowel de FQDN (Fully Qualified Domain Name) als de Netbios-naam in de SAN-lijst bevatten. SQL Server Management Studio (SSMS) maakt vaak gebruik van Netbios-namen bij het verbinden en ontbrekende vermeldingen veroorzaken validatiefouten.
• SAN-vermeldingen plannen: neem alle mogelijke namen van clientverbindingen (FQDN, Netbios-namen, servicealiassen) op tijdens het uitgeven van certificaten. Als u later namen toevoegt, moet u een nieuw certificaat maken en het SQL Server-exemplaar opnieuw opstarten.

Zie Versleuteling en certificaatvalidatie - OLE DB-stuurprogramma voor SQL Server voor meer informatie over certificaatvalidatie.

Standaardconfiguraties beveiligen in SQL Server 2025

SQL Server 2025 introduceert standaardbeveiligingsconfiguraties voor verschillende functies die nu gebruikmaken van TDS 8.0 waarvoor versleuteling standaard is ingeschakeld:

• SQL Server Agent: Gebruikt Microsoft OLE DB-stuurprogramma voor SQL Server versie 19 met Encrypt=Mandatory en vereist geldige servercertificaten met TrustServerCertificate=False. Wanneer de enige ingeschakelde TLS-versie TLS 1.3 is, moet u Encrypt=Strict (Strikte versleuteling afdwingen) configureren.

• AlwaysOn-beschikbaarheidsgroepen en FCI's: maakt standaard gebruik van ODBC-stuurprogramma voor SQL Server versie 18 Encrypt=Mandatory . In tegenstelling tot andere functies maken AlwaysOn-beschikbaarheidsgroepen en FCI's zelfondertekende scenario's mogelijk TrustServerCertificate=True .

• Gekoppelde servers: maakt standaard gebruik van microsoft OLE DB-stuurprogramma voor SQL Server versie 19 Encrypt=Mandatory . De versleutelingsparameter moet worden opgegeven in de verbindingsreeks bij het verbinden met een ander exemplaar van een SQL Server.

• Logboekverzending: gebruikt Microsoft OLE DB-stuurprogramma voor SQL Server versie 19 met Encrypt=Mandatory en vereist geldige servercertificaten. Wanneer u een in-place upgrade uitvoert vanaf een lagere versie, die geen ondersteuning biedt voor de meest recente beveiligingsconfiguraties, en versleutelingsinstellingen niet expliciet worden overschreven met een veiligere optie, dan wordt log shipping gebruikt TrustServerCertificate=True om compatibiliteit met eerdere versies mogelijk te maken. Als u TLS 1.3 en Encrypt=Strict met TDS 8.0 wilt afdwingen na de upgrade, verwijdert u de topologie en maakt u deze opnieuw met de bijgewerkte parameters in de opgeslagen procedures voor logboekverzending.

• Replicatie: (transactioneel, momentopname, samenvoegen) maakt gebruik van microsoft OLE DB-stuurprogramma voor SQL Server versie 19 met Encrypt=Mandatory en vereist geldige certificaten met TrustServerCertificate=False.

• Database Mail: de standaardinstellingen zijn Encrypt=Optional en TrustServerCertificate=True. Wanneer TLS 1.3 wordt afgedwongen, worden deze waarden gewijzigd in Encrypt=Strict en TrustServerCertificate=False. Azure SQL Managed Instance maakt standaard gebruik van het TLS 1.3-protocol.

• PolyBase: gebruikt ODBC-stuurprogramma voor SQL Server versie 18 met Encrypt=Yes (Mandatory). PolyBase maakt zelfondertekende scenario's mogelijk TrustServerCertificate=True .

• SQL VSS Writer: wanneer u verbinding maakt met een SQL Server 2025-exemplaar met Encryption=Strict, gebruikt SQL VSS Writer TLS 1.3 en TDS 8.0 voor het VDI-gedeelte (Non-Virtual Device Interface) van die verbinding.

Onderdeelspecifieke vereisten

• SQL Server Agent met TLS 1.3: U moet Geforceerde versleuteling (TDS 8.0) gebruiken wanneer TLS 1.3 de enige versie is ingeschakeld. Lagere versleutelingsinstellingen (Mandatory of Optional) leiden tot verbindingsfouten.

• T-SQL-taken van SQL Server Agent: T-SQL-taken van SQL Server Agent die verbinding maken met het lokale exemplaar nemen de versleutelingsinstellingen van de SQL Server Agent over.

• PowerShell-modules: SQLPS.exe en de SQLPS PowerShell-module worden momenteel niet ondersteund voor TDS 8.0.

• AlwaysOn-beschikbaarheidsgroepen en FCI's: als u strikte versleuteling wilt configureren met TDS 8.0, gebruikt u de CLUSTER_CONNECTION_OPTIONS component met Encrypt=Strict en failover om instellingen toe te passen.

Verwante inhoud

• TDS 8.0
• Verbinding maken met SQL Server met strikte versleuteling
• TLS 1.3 configureren