İngilizce dilinde oku

Aracılığıyla paylaş

SQL Server bağlantılarını şifrelemek için özel durumlar

  • Makale

İstemcinin Aktarım Katmanı Güvenliği (TLS) şifrelemesi isteyebilmesi ve sertifikanın sunucuda zaten var olması için istemci bilgisayarın sunucu sertifikasına güvenmesi gerekir. SQL Server şifrelemesi için en yaygın senaryo aşağıdaki ortamları içerir:

  • SQL Server'a gelen tüm istemci bağlantıları için şifrelemeyi zorlar.
  • Windows'un zaten güvendiği bir genel ticari sertifika yetkilisinin sertifikalarını kullanın. Ağınızdaki tüm bilgisayarlarda, CA'ya karşılık gelen kök sertifika Güvenilen Kök Sertifika Yetkilileri sertifika deposu'ye yüklenir.

Bu senaryoda, SQL Server'ı şifreleme için yapılandırdıktan sonra SQL Server Veritabanı Altyapısınışifreleme bağlantıları için yapılandırma bölümünde açıklanan yordama göre başarılı şifreleme için ek adımlar gerçekleştirmeniz gerekmez. Bu makalede, bağlantıları şifrelemek için SQL Server Veritabanı Altyapısını yapılandırmakapsamında yer almayan daha az yaygın senaryolar için SQL Server bağlantılarını şifreleme yordamları sağlanır.

Not

Microsoft Güvenilen Kök Programı'ndaki katılımcıların tam listesi için bkz. Katılımcı Listesi - Microsoft Güvenilen Kök Program.

Genel ticari sertifika yetkilisi tarafından verilen bir sertifika kullanın ve yalnızca bazı istemcilerin şifreli bağlantılara ihtiyacı vardır

  1. SQL Server'ısertifikaları kullanacak şekilde yapılandırma bölümünde belirtilen yordama göre SQL Server'da sertifikayı yapılandırın.

  2. Şifreleme anahtar kelimesini bağlantı özelliklerinde Evet veya Trueolarak belirtin. Örneğin, SQL Server için Microsoft ODBC Sürücüsü kullanıyorsanız, bağlantı dizesi Encrypt=yes;belirtmelidir.

İç CA tarafından verilen veya New-SelfSignedCertificate veya makecert kullanılarak oluşturulan bir sertifika kullanın

Senaryo 1: SQL Server'a tüm bağlantıları şifrelemek istiyorsunuz

1. Adım: SQL Server'ı sertifikaları kullanacak şekilde yapılandırma ve 2. Adım'ı: SQL Server Veritabanı Altyapısı'nı bağlantıları şifrelemek için yapılandırmamakaledeki SQL Server'da şifreleme ayarlarını yapılandırma bölümünde açıklanan iki yordamı da tamamladıktan sonra, istemci uygulamanızı şifreleme için yapılandırmak üzere aşağıdaki seçeneklerden birini kullanın.

Seçenek 1: İstemci uygulamalarını Güven Sunucusu Sertifikası için yapılandırma. Bu ayar istemcinin sunucu sertifikasını doğrulayan adımı atlayıp şifreleme işlemine devam etmesine neden olur. Örneğin, SQL Server Management Studio (SSMS) 20 ve sonraki sürümlerini kullanıyorsanız, Oturum Açma sayfasında (veya önceki sürümlerdeki Seçenekleri sayfasında) Sunucu Sertifikasına Güven seçebilirsiniz.

Seçenek 2: Her istemcide aşağıdaki adımları gerçekleştirerek sertifikanın veren yetkilisini güvenilen kök yetkili deposuna ekleyin:

  1. Sunucu sertifikasını dışarı aktarmabölümünde belirtilen yordamı kullanarak sertifikayı SQL Server çalıştıran bir bilgisayardan dışarı aktarın.

  2. Sertifika dışarı aktarma ve içeri aktarmabölümünde belgelenen yordamı kullanarak sertifikayı içeri aktarın.

Senaryo 2: Yalnızca bazı istemciler şifreli bağlantılara ihtiyaç duyar

SQL Server için sertifikayı, bağlantıları şifrelemek için SQL Server Veritabanı Altyapısını YapılandırmaAdım 1 belgelendiği gibi yapılandırdıktan sonra, istemci uygulamanızı şifreleme için yapılandırmak üzere aşağıdaki seçeneklerden birini kullanın:

Seçenek 1: İstemci uygulamalarını sunucu sertifikasına güvenecek şekilde yapılandırın ve bağlantı özelliklerinde şifreleme anahtar sözcüğünü Evet veya True olarak belirtin. Örneğin, SQL Server için Microsoft ODBC Sürücüsü kullanıyorsanız, bağlantı dizesi Encrypt=Yes;TrustServerCertificate=Yes;belirtmelidir.

Sunucu sertifikaları ve şifreleme hakkında daha fazla bilgi için bkz. Using TrustServerCertificate.

Seçenek 2: Her istemcide sertifikayı veren yetkiliyi güvenilir kök yetkilisi deposuna ekleyin ve bağlantı dizesinde Evet şifreleme parametrelerini belirtin:

  1. "SQL Server çalıştıran bir bilgisayardan sertifika dışarı aktarma" bölümünde belirtilen yordamı kullanarak, SQL Server çalıştıran bir bilgisayardan SERTIFIKAyı dışarı aktarın.

  2. Sertifikayıiçeri aktarın.

  3. Şifreleme anahtar kelimesini bağlantı özelliklerinde Evet veya Trueolarak belirtin. Örneğin, SQL Server için Microsoft OLEDB Sürücüsü kullanıyorsanız, bağlantı dizesi veri için şifrelemeyi kullan = True belirtmelidir;

SQL Server tarafından otomatik olarak oluşturulan otomatik olarak imzalanan sertifikayı kullanma

Senaryo 1: SQL Server'a gelen tüm bağlantıları şifrelemek istiyorsunuz

  1. 2. Adım: 'de belgelenenbağlantılarını şifrelemek için SQL Server Veritabanı Altyapısını yapılandırma yordamı kullanarak SQL Server'da şifrelemeyi etkinleştirin. 'de SQL Server şifreleme ayarlarını yapılandırın.

  2. İstemci uygulamalarını sunucu sertifikasına güvenecek şekilde yapılandırın. Sunucu sertifikasına güvenmek, istemcinin sunucu sertifikasını doğrulayan adımı atlayıp şifreleme işlemine devam etmesine neden olur. Örneğin, SQL Server Management Studio (SSMS) 20 ve sonraki sürümlerini kullanıyorsanız, Oturum Açma sayfasında (veya önceki sürümlerdeki Seçenekleri sayfasında) Sunucu Sertifikasına Güven seçebilirsiniz.

Senaryo 2: Yalnızca bazı istemciler şifreli bağlantılara ihtiyaç duyar

İstemci uygulamalarını sunucu sertifikasına güvenecek şekilde yapılandırın ve Evet veya True için bağlantı özelliklerinde şifreleme anahtar sözcüğünü belirtin. Örneğin, SQL Server için Microsoft ODBC Sürücüsü kullanıyorsanız, bağlantı dizesi Encrypt=Yes;TrustServerCertificate=Yes;belirtmelidir.

Bu senaryo için SQL Server'da ek yapılandırma gerekmez.

Uyarı

Otomatik olarak imzalanan sertifika kullanılarak şifrelenen TLS/SSL bağlantıları, otomatik olarak imzalanan sertifikalardaki anahtarın uzunluğu CA tarafından oluşturulan sertifikalardaki anahtardan daha kısa olduğundan güçlü güvenlik sağlamaz. Ortadaki adam saldırılarına karşı hassaslar. Üretim ortamında veya İnternet'e bağlı sunucularda otomatik olarak imzalanan sertifikalar kullanan TLS/SSL'ye güvenmemelisiniz.

İlgili içerik