Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL)

Применимо к:SQL Server

Для обеспечения возможности выполнения проверки подлинности при помощи сертификата при зеркальном отображении базы данных на данном экземпляре сервера, системный администратор должен настроить каждый экземпляр сервера для использования сертификатов, как для входящих, так и для исходящих соединений. Вначале должны быть настроены исходящие соединения.

Примечание

Все соединения зеркального отображения экземпляра сервера используют одну и ту же конечную точку зеркального отображения базы данных, и при ее создании необходимо задать метод проверки подлинности экземпляра сервера. Таким образом, экземпляр сервера может использовать только одну форму проверки подлинности при зеркальном отображении базы данных.

Настройка исходящих соединений

На каждом экземпляре сервера, настраиваемом для зеркального отображения базы данных, должны быть выполнены следующие шаги:

  1. В базе данных master создайте главный ключ базы данных.

  2. В базе данных master создайте зашифрованный сертификат для экземпляра сервера.

  3. Создайте конечную точку для экземпляра сервера при использовании его сертификата.

  4. Создайте резервную копию сертификата в файле и защищенным образом скопируйте этот файл на другие системы.

Все эти этапы необходимо выполнить для каждого из участников, а также для следящего сервера, если он есть.

Дополнительные сведения см. в статье Включение использования сертификатов для исходящих соединений в конечной точке зеркального отображения базы данных (Transact-SQL).

Настройка входящих соединений

Для каждого из участников, настраиваемых для зеркального отображения базы данных, выполните следующие шаги. В базе данных master :

  1. Создайте имя входа для другой системы.

  2. Создайте пользователя для этого имени входа.

  3. Получите сертификат для конечной точки зеркального отображения другого экземпляра сервера.

  4. Свяжите сертификат с пользователем, созданным на шаге 2.

  5. Предоставьте этому имени входа разрешение CONNECT на эту конечную точку зеркального отображения.

Если имеется следящий сервер, для него также необходимо настроить входящие соединения. Для этого нужно настроить имена входа, пользователей и сертификаты для следящего сервера на обоих участниках, и наоборот.

Дополнительные сведения см. в статье Включение использования сертификатов для входящих соединений в конечной точке зеркального отображения базы данных (Transact-SQL).

Безопасность

За исключением случаев, когда сеть гарантированно защищена, рекомендуется для соединений зеркального отображения базы данных применять шифрование. Дополнительные сведения см. в статье Конечная точка зеркального отображения базы данных (SQL Server).

При копировании сертификата на другую систему используйте безопасный метод копирования. Отнеситесь с особым вниманием к хранению сертификатов в безопасном месте.

См. также:

Создание главного ключа базы данных
CREATE MASTER KEY (Transact-SQL)
Безопасность транспорта для зеркального отображения баз данных и групп доступности Always On (SQL Server)
Центр безопасности для ядра СУБД SQL Server и Базы данных Azure SQL
Конечная точка зеркального отображения базы данных (SQL Server)