Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)

В этом разделе описывается, как включить зашифрованные подключения для экземпляра ядра СУБД SQL Server путем указания сертификата для ядра СУБД с помощью диспетчер конфигурации SQL Server. Компьютеру сервера должен быть назначен сертификат, а компьютер клиента должен доверять корневому центру сертификации. Провизионирование — это процесс установки сертификата путем импорта сертификата в систему Windows.

Сертификат должен быть включен для проверки подлинности сервера. Имя сертификата должно быть полным доменным именем (FQDN) компьютера.

Сертификаты хранятся локально на пользовательских компьютерах. Чтобы установить сертификат для использования SQL Server, необходимо использовать диспетчер конфигурации SQL Server под той же учетной записью пользователя, что и служба SQL Server, если служба не запущена как LocalSystem, NetworkService или LocalService. В этом случае можно использовать учетную запись администратора.

Клиент должен уметь проверить принадлежность сертификата, используемого сервером. Если у клиента есть сертификат открытого ключа центра сертификации, который подписал сертификат сервера, то дальнейшее конфигурирование не требуется. Microsoft Windows включает сертификаты открытого ключа нескольких центров сертификации. Если сертификат сервера был подписан общедоступным или частным центром сертификации, для которого у клиента нет сертификата открытого ключа, необходимо установить сертификат открытого ключа того центра сертификации, который подписал сертификат сервера.

Примечание

Чтобы использовать шифрование в отказоустойчивом кластере, необходимо установить сертификат сервера с полным именем DNS виртуального сервера на все узлы отказоустойчивого кластера. Например, если у вас есть кластер с двумя узлами с узлами с именем test1. <ваш сайт company.com> и test2.<ваш сайт company.com>, и у вас есть виртуальный сервер с именем virtsql, необходимо установить сертификат для virtsql. <ваш сайт company.com> на обоих узлах. Параметру ForceEncryptionможно присвоить значение Да.

В этом разделе

• Включение зашифрованных соединений

  Установка сертификата на сервер

  Экспорт сертификата сервера

  Настройка сервера на прием зашифрованных соединений

  Настройка клиента для запроса зашифрованных подключений

  Шифрование соединения из среды SQL Server Management Studio

Назначение (установка) сертификата на сервер

1. В меню Пуск выберите команду Выполнить, а затем в поле Открыть введите MMC и нажмите кнопку ОК.

2. В консоли MMC в меню Файл выберите Добавить или удалить оснастку.

3. В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить.

4. В диалоговом окне Добавление изолированной оснастки выберите Сертификатыи нажмите кнопку Добавить.

5. В диалоговом окне Оснастка диспетчера сертификатов выберите Учетная запись компьютераи нажмите кнопку Готово.

6. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.

7. В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.

8. В оснастке Сертификаты последовательно разверните узлы Сертификатыи Личное, а затем правой кнопкой мыши щелкните Сертификаты, выберите Все задачии нажмите кнопку Импорт.

9. Чтобы добавить сертификат на компьютер, выполните Мастер импорта сертификатови закройте консоль MMC. Дополнительные сведения о добавлении сертификатов на компьютер см. в документации по Windows.

Экспорт сертификата сервера

1. В оснастке Сертификаты найдите сертификат в папке Сертификаты / Личное , правой кнопкой мыши щелкните Сертификат, выберите Все задачии нажмите Экспорт.

2. Чтобы сохранить файл сертификата в удобном расположении, выполните мастер экспорта сертификатов.

Настройка сервера на прием зашифрованных соединений

1. В диспетчер конфигурации SQL Server разверните узел SQL Server Конфигурация сети, щелкните правой кнопкой мыши Протоколы для<экземпляра> сервера и выберитеСвойства.

2. В диалоговом окне Свойствапротокола для<имени>экземпляра на вкладке Сертификат выберите нужный сертификат из раскрывающегося списка Сертификат и нажмите кнопку ОК.

3. На вкладке Флаги в поле ForceEncryption выберите Да, затем нажмите кнопку ОК , чтобы закрыть диалоговое окно.

4. Перезапустите службу SQL Server .

Настройка клиента на прием зашифрованных соединений

1. Скопируйте на компьютер клиента исходный сертификат или экспортированный файл сертификата.

2. Чтобы установить корневой сертификат или экспортированный файл сертификата на клиентском компьютере, используйте оснастку Сертификаты .

3. На панели консоли щелкните правой кнопкой мыши элемент Конфигурация собственного клиента SQL Server, затем нажмите Свойства.

4. На странице Флаги в диалоговом окне Принудительное шифрование протокола выберите Да.

Шифрование соединения из среды SQL Server Management Studio

1. На панели инструментов обозревателя объектов нажмите кнопку Соединитьи выберите Компонент Database Engine.

2. В диалоговом окне Соединение с сервером введите все данные, необходимые для подключения, а затем нажмите Параметры.

3. На вкладке Свойства соединения щелкните Шифровать соединение.