Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Aktarım Katmanı Güvenliği (TLS) protokolü ve dijital sertifikalarla ilgili ayrıntılar açıklanmaktadır.
Aktarım Katmanı Güvenliği (TLS)
TLS ve SSL protokolleri, uygulama protokol katmanı ile TCP/IP katmanı arasında bulunur ve burada uygulama verilerinin güvenliğini sağlayabilir ve aktarım katmanına gönderebilir. TLS/SSL protokolleri, anahtarlar oluşturmak ve bilgileri şifrelemek için şifre paketindeki algoritmaları kullanır. İstemci ve sunucu, bağlantının kurulmasının ilk bağlantı (oturum açma öncesi) aşamasında şifreleme için kullanılacak protokol sürümünü ve şifreleme paketini tartışır. Desteklenen en yüksek TLS sürümü, TLS el sıkışmasında her zaman tercih edilir. Windows işletim sistemlerinin farklı sürümleri tarafından desteklenen TLS protokolleri sürümlerini denetlemek için bkz. TLS/SSL'de protokoller (Schannel SSP). SSL ve TLS'nin önceki sürümlerine karşı bilinen çeşitli güvenlik açıkları bildirilmiştir. Güvenli iletişim için TLS 1.2'ye yükseltmenizi öneririz.
SQL Server, BIR SQL Server örneği ile istemci uygulaması arasında bir ağ üzerinden iletilen verileri şifrelemek için TLS kullanabilir. TLS, şifrelemeyi uygulamak için bir sertifika kullanır.
TLS şifrelemesinin etkinleştirilmesi, SQL Server örnekleri ile uygulamalar arasında ağlar arasında iletilen verilerin güvenliğini artırır. Ancak, SQL Server ile istemci uygulaması arasındaki tüm trafik TLS kullanılarak şifrelendiğinde, aşağıdaki ek işlem gereklidir:
- Bağlantı kurarken ek bir ağ gidiş-dönüşü gereklidir.
- Uygulamadan SQL Server örneğine gönderilen paketler istemci TLS yığını tarafından şifrelenmeli ve şifresi sunucu TLS yığını tarafından çözülmelidir.
- SQL Server örneğinden uygulamaya gönderilen paketler sunucu TLS yığını tarafından şifrelenmeli ve şifresi istemci TLS yığını tarafından çözülmelidir.
Önemli
SQL Server 2016 (13.x) ile başlayarak Güvenli Yuva Katmanı (SSL) kullanımdan kaldırılmıştır. Bunun yerine TLS (TLS 1.2 önerilir) kullanın. Daha fazla bilgi için bkz. Microsoft SQL Server için TLS 1.2 desteği. SQL Server 2022, TLS 1.3 için destek sağlar. Daha fazla bilgi için bkz. TLS 1.3 desteği. İstemci ve sunucu bilgisayarı arasında eşleşen protokol yoksa, Var olan bir bağlantı uzak konak tarafından zorla kapatıldı bölümünde açıklanan hatayla karşılaşabilirsiniz.
Dijital sertifikaya genel bakış
Dijital sertifikalar, bir kullanıcının veya bilgisayarın kimliğini doğrulamak için çevrimiçi parola gibi çalışan elektronik dosyalardır. İstemci iletişimleri için kullanılan şifrelenmiş kanalı oluşturmak için kullanılırlar. Sertifika, sertifika sahibinin kimliğine yönelik bir sertifika yetkilisi (CA) tarafından verilen ve tarafların şifreleme kullanarak güvenli bir şekilde iletişim kurmasını sağlayan dijital bir bildirimdir.
Dijital sertifikalar aşağıdaki hizmetleri sağlar:
- Şifreleme: Bunlar, değiştirilen verilerin hırsızlıktan veya kurcalanmaya karşı korunmasına yardımcı olur.
- Kimlik doğrulaması: Sahiplerinin (kişiler, web siteleri ve hatta yönlendiriciler gibi ağ cihazlarının) gerçekten kim veya ne olduğunu iddia ettiklerini doğrularlar. Genellikle kimlik doğrulaması tek yönlüdür; burada kaynak hedefin kimliğini doğrular, ancak karşılıklı TLS kimlik doğrulaması da mümkündür.
Sertifika ortak anahtar içerir ve bu ortak anahtarı ilgili özel anahtarı barındıran bir kişi, bilgisayar veya hizmetin kimliğine ekler. Ortak ve özel anahtarlar, istemci ve sunucu tarafından verileri iletilmeden önce şifrelemek için kullanılır. Windows kullanıcıları, bilgisayarları ve hizmetleri için, kök sertifika güvenilen kök sertifika deposunda tanımlandığında ve sertifika geçerli bir sertifika yolu içerdiğinde CA'ya güven oluşturulur. Sertifika iptal edilmemişse (CA'nın sertifika iptal listesinde veya CRL'de yer almıyorsa) veya süresi dolmadıysa geçerli kabul edilir.
Üç birincil dijital sertifika türü aşağıdaki tabloda açıklanmıştır:
| Türü | Açıklama | Avantajlar | Dezavantajlar |
|---|---|---|---|
| Otomatik olarak imzalanan sertifika | Sertifika, sertifikayı oluşturan uygulama tarafından imzalanır veya New-SelfSignedCertificate kullanılarak oluşturulur. | Maliyet (ücretsiz) | - Sertifikaya istemci bilgisayarlar ve mobil cihazlar tarafından otomatik olarak güvenilmez. Sertifikanın tüm istemci bilgisayarlarda ve cihazlarda güvenilen kök sertifika deposuna el ile eklenmesi gerekir, ancak tüm mobil cihazlar güvenilen kök sertifika deposunda değişikliklere izin vermez. - Tüm hizmetler otomatik olarak imzalanan sertifikalarla çalışmaz. - Sertifika yaşam döngüsü yönetimi için bir altyapı oluşturmak zordur. Örneğin, otomatik olarak imzalanan sertifikalar iptal edilemez. |
| İç CA tarafından verilen sertifika | Sertifika, kuruluşunuzdaki bir ortak anahtar altyapısı (PKI) tarafından verilir. Örnek olarak Active Directory Sertifika Hizmetleri (AD CS) gösteriliyor. Daha fazla bilgi için bkz. Active Directory Sertifika Hizmetlerine Genel Bakış. | - Kuruluşların kendi sertifikalarını vermesine izin verir. - Ticari CA'dan alınan sertifikalardan daha ucuzdur. |
- PKI'yı dağıtmak ve korumak için artan karmaşıklık. - Sertifikaya istemci bilgisayarlar ve mobil cihazlar tarafından otomatik olarak güvenilmez. Sertifikanın tüm istemci bilgisayarlarda ve cihazlarda güvenilen kök sertifika deposuna el ile eklenmesi gerekir, ancak tüm mobil cihazlar güvenilen kök sertifika deposunda değişikliklere izin vermez. |
| Ticari CA tarafından verilen sertifika | Sertifika, güvenilir bir ticari CA'dan satın alınır. | Sertifika dağıtımı basitleştirilir çünkü tüm istemciler, cihazlar ve sunucular sertifikalara otomatik olarak güvenir. | Masraf. Gerekli sertifika sayısını en aza indirmek için önceden planlamanız gerekir. |
Sertifika sahibinin iddia ettikleri kişi olduğunu kanıtlamak için sertifikanın sertifika sahibini diğer istemcilere, cihazlara veya sunuculara doğru şekilde tanımlaması gerekir. Bunu yapmak için üç temel yöntem aşağıdaki tabloda açıklanmıştır:
| Yöntem | Açıklama | Avantajlar | Dezavantajlar |
|---|---|---|---|
| Sertifika konusu eşleşmesi | Sertifikanın Konu alanı konağın ortak adını (CN) içerir. Örneğin, verilen sertifika www.contoso.com web sitesi https://www.contoso.comiçin kullanılabilir. |
- Tüm istemciler, cihazlar ve hizmetlerle uyumludur. - Bölmeli hale getirme. Bir konak için sertifikanın iptali diğer konakları etkilemez. |
- Gerekli sertifika sayısı. Sertifikayı yalnızca belirtilen sunucu için kullanabilirsiniz. Örneğin, hizmetler aynı sunucuda yüklü olsa bile www.contoso.com sertifikayı ftp.contoso.com için kullanamazsınız.-Karmaşıklık. Bir web sunucusunda her sertifika kendi IP adresi bağlamasını gerektirir. |
| Sertifika Konu Alternatif Adı (SAN) Uyumu |
Konu alanına ek olarak, sertifikanın Konu Alternatif Adı alanı birden çok ana bilgisayar adının listesini içerir. Örneğin:www.contoso.comftp.contoso.comftp.eu.fabrikam.net |
-Kolaylık. Aynı sertifikayı birden fazla, ayrı etki alanında birden çok konak için kullanabilirsiniz. - çoğu istemci, cihaz ve hizmet SAN sertifikalarını destekler. - Denetim ve güvenlik. Hangi konakların SAN Sertifikası'nı kullanabileceklerini tam olarak biliyorsunuz. |
- Daha fazla planlama gereklidir. Sertifikayı oluştururken konakların listesini sağlamanız gerekir. - Bölümleme eksikliği. Sertifikadaki tüm konakları etkilemeden belirtilen konaklardan bazıları için sertifikaları seçmeli olarak iptal edemezsiniz. |
| Wildcard sertifika eşleşmesi | Sertifikanın Konu alanı joker karakter (*) olarak ortak adın yanı sıra tek bir etki alanı veya alt etki alanı içerir. Örneğin, *.contoso.com veya *.eu.contoso.com. Joker *.contoso.com sertifika aşağıdakiler için kullanılabilir:www.contoso.comftp.contoso.commail.contoso.com |
Esneklik. Sertifikayı istediğinizde konakların listesini sağlamanız gerekmez ve sertifikayı gelecekte ihtiyaç duyabileceğiniz herhangi bir sayıda konakta kullanabilirsiniz. | - Wildcard sertifikalarını diğer üst düzey etki alanlarıyla (ÜDT) kullanamazsınız. Örneğin, *.contoso.com joker sertifikasını *.contoso.net konaklar için kullanamazsınız.- Ana bilgisayar adları için joker karakter sertifikalarını yalnızca joker karakter düzeyinde kullanabilirsiniz. Örneğin, *.contoso.com sertifikasını www.eu.contoso.com için kullanamazsınız. Veya *.eu.contoso.com sertifikasını www.uk.eu.contoso.com için kullanamazsınız.- Eski istemciler, cihazlar, uygulamalar veya hizmetler joker karakter sertifikalarını desteklemeyebilir. - Joker karakterler Genişletilmiş Doğrulama (EV) sertifikalarıyla kullanılamaz. - Dikkatli denetim ve kontrol gereklidir. Joker karakterli sertifikanın güvenliği aşıldıysa, belirtilen etki alanındaki tüm ana bilgisayarları etkiler. |
İlgili içerik
- Katı şifreleme ile SQL Server'a bağlanma
- TLS 1.3'ü yapılandır
- TLS 1.3 desteği