Katı şifreleme ile SQL Server'a bağlanma

Şunlar için geçerlidir: SQL Server 2022 (16.x)

Katı bağlantı şifrelemesi iyi güvenlik uygulamalarını zorunlu kılar ve SQL Server trafiğini standart ağ gereçleri tarafından yönetilebilir hale getirir.

Bu makalede, katı bağlantı türünü kullanarak SQL Server 2022 (16.x) ve sonraki sürümlere bağlanmayı öğrenin.

Önkoşul

• SQL Server 2022 (16.x) veya üzeri
• SQL Server için ODBC veya OLE DB Sürücüsü
  • SQL Server sürüm 18.1.2.1 veya üzeri için ODBC Sürücüsü
  • SQL Server sürüm 19.2.0 veya üzeri için OLE DB Sürücüsü
• SQL Server'a bir TLS sertifikası oluşturun ve yükleyin. Daha fazla bilgi için bkz . Veritabanı Altyapısına şifreli bağlantıları etkinleştirme

.NET uygulaması kullanarak SQL Server'a bağlanma

Şifreleme türünü kullanarak strict SQL Server oluşturma ve sql server'a bağlanma hakkında bilgi için bağlantı dizesini düzgün bir şekilde derleme hakkında bağlantı dizesi söz dizimi bölümüne bakın. Yeni bağlantı dizesi özellikleri hakkında daha fazla bilgi için bkz. Bağlantı dizesi şifreleme özelliklerinde ek değişiklikler.

ODBC DSN kullanarak bağlanma

SQL Server'a ODBC DSN kullanarak bağlantı şifreleme türüyle Strict bağlantıyı test edebilirsiniz.

1. Windows'da ODBC Veri Kaynakları uygulamasını arayın.

   

2. ODBC Veri Kaynağı Yöneticisi'nin Sürücüler sekmesine bakarak en son ODBC sürücüsüne sahip olduğunuzdan emin olun.

   

3. Sistem DSN sekmesinde Ekle'yi seçerek DSN oluşturun. Ardından SQL Server için ODBC Sürücüsü 18'i seçin. Bitirseçin. Bağlantımızı test etmek için bunu kullanacağız.

4. SQL Server'a Yeni Veri Kaynağı Oluştur penceresinde, bu veri kaynağı için bir ad sağlayın ve SQL Server 2022 (16.x) sunucunuzun adını Sunucu'ya ekleyin. sonrakiseçin.

   

5. Bağlantı Şifrelemesi olan ekrana gelene kadar tüm ayarlar için tüm varsayılan değerleri kullanın. Katı'ı seçin. Girdiğiniz sunucu adı sertifikadakinden farklıysa veya bunun yerine IP adresi kullanılıyorsa, sertifikadaki HostName değerini sertifikanızda kullanılan ad olarak ayarlayın. Bitirseçin.

   

6. ODBC Microsoft SQL Server Kurulumu iletişim kutusu açıldığında bağlantıyı test etmek için Veri Kaynağını Sına... düğmesini seçin. Bu, bu test için SQL Server bağlantısını zorunlu kılmalıdır strict .

Evrensel Veri Bağlantısı kullanarak bağlanma

Evrensel Veri Bağlantısı (UDL) ile OLE DB Sürücüsünü kullanarak şifreleme ile strict SQL Server bağlantısını da test edebilirsiniz.

1. Bağlantınızı test etmek üzere bir UDL dosyası oluşturmak için masaüstünüzde sağ tıklayın ve YeniMetin Belgesi'ni> seçin. Uzantısını txtudlolarak değiştirmeniz gerekir. Dosyaya istediğiniz adı verebilirsiniz.

   Uyarı

   uzantısını olarak değiştirmek için uzantı txtudladını görebilmeniz gerekir. Uzantıyı göremiyorsanız, Dosya Gezgini>Görünümü>Dosya adı uzantılarını> açarak uzantıyı görüntülemeyi etkinleştirebilirsiniz.

2. Oluşturduğunuz UDL dosyasını açın ve Sağlayıcı sekmesine giderek SQL Server için Microsoft OLE DB Sürücüsü 19'u seçin. İleri'yi >>seçin.

   

3. Bağlantı sekmesinde SQL Server sunucunuzun adını girin ve SQL Server'da oturum açmak için kullandığınız kimlik doğrulama yöntemini seçin.

   

4. Gelişmiş sekmesinde Bağlantı şifrelemesi için Katı'yı seçin. Girdiğiniz sunucu adı sertifikadakinden farklıysa veya bunun yerine IP adresi kullanılıyorsa, sertifikadaki Ana bilgisayar adını sertifikanızda kullanılan ad olarak ayarlayın. İşiniz bittiğinde Bağlantı sekmesine geri dönün.

   

5. Bağlantıyı bağlantı şifrelemesiyle test etmek için Bağlantıyı Test Et'i strict seçin.

   

SSMS ile bağlanma

Sürüm 20'den başlayarak, Sunucuya Bağlan iletişim kutusunun Oturum Açma Bilgilerisekmesindeki SQL Server Management Studio'da (SSMS) katı şifreleme uygulayabilirsiniz:

Always On kullanılabilirlik grubuna bağlanma

SQL Server 2025 (17.x) ile başlayarak, Strict veya Mandatory bağlantı şifreleme türünü kullanarak Windows Server Yük Devretme Kümesi ile Always On kullanılabilirlik grubu replika arasındaki iletişimi şifreleyebilirsiniz. Kullanılabilirlik grubunuz yalnızca bir Windows Server Yük Devretme Kümesine dayalıysa şifrelemeyi zorunlu kılabilir. Diğer kullanılabilirlik grubu türleri katı şifrelemeyi desteklemez.

Adımlar, kullanılabilirliğinizin mevcut olup olmamasına bağlı olarak farklılık gösterir.

Yeni AG

Yeni bir kullanılabilirlik grubuna katı şifrelemeyi zorlamak için şu adımları izleyin:

1. Henüz yapmadıysanız, sertifika gereksinimleri tarafından tanımlandığı gibi TLS sertifikasını kullanılabilirlik grubunun her çoğaltmasına aktarın. Sertifikayı içeri aktardıktan sonra her SQL Server örneğini yeniden başlatın.
2. Şifrelemeyi zorunlu kılan bu makalede belirtilen yöntemlerden birini kullanarak her SQL Server çoğaltmasına yönelik bağlantıları test edin.
3. Kullanılabilirlik grubunun yan tümcesinde özelliğinin olarak ayarlandığı EncryptStrictCLUSTER_CONNECTION_OPTIONS. Bu, kullanılabilirlik grubuna yapılan tüm bağlantıların belirtilen şifreleme türünü kullanmasını sağlar.
4. Kullanılabilirlik grubu şu anda çevrimiçiyse, yeni şifreleme ayarlarını kullanılabilirlik grubuna uygulamak için kullanılabilirlik grubunu ikincil çoğaltmaya devredin. Kullanılabilirlik grubu çevrimiçi olmazsa, doğru ayarlanmamış olabilir ClusterConnectionOptions . Kümenin SQL Server çoğaltmasına bağlanamamasıyla ilgili ODBC hataları için cluster.log denetleyin. İsteğe bağlı olarak, yeni ikincil çoğaltma çevrimiçi olduktan ve kullanılabilirlik grubuna bağlandıktan sonra kullanılabilirlik grubunu özgün birincil çoğaltmaya geri döndürebilirsiniz.
5. (İsteğe bağlı) Her çoğaltma için bağlantı protokolü için SQL Server Configuration Manager özelliklerinde Yes Zorla seçeneğini ayarlayarak şifrelemeyi daha da zorlayabilirsiniz. Bu ayar, kullanılabilirlik grubu çoğaltmalarına yönelik tüm bağlantıların katı şifreleme kullanmasını sağlar. Bu ayarı değiştirdikten sonra her SQL Server çoğaltmasını yeniden başlatın.

Mevcut AG

Mevcut kullanılabilirlik grubunuzu katı şifreleme için yapılandırmaya başlamadan önce, kapalı kalma süresini en aza indirmek ve veri kaybını önlemek için bakım penceresi sırasında sıralı yükseltmeler adımlarını izleyin.

Mevcut kullanılabilirlik grubunuzu katı şifreleme için yapılandırmak için bakım penceresi sırasında şu adımları izleyin:

1. Henüz yapmadıysanız, sertifika gereksinimleri tarafından tanımlandığı gibi TLS sertifikasını kullanılabilirlik grubunun her ikincil çoğaltmasına aktarın. Sertifikayı içeri aktardıktan sonra her ikincil SQL Server çoğaltmasını yeniden başlatın.
2. Şifrelemeyi zorunlu kılan bu makalede belirtilen yöntemlerden birini kullanarak her SQL Server çoğaltmasına yönelik bağlantıları test edin.
3. Kullanılabilirlik grubuna yeni bağlandığınız ikincil çoğaltmalardan birine yük devretme. Bu, onu yeni birincil çoğaltma yapar.
4. TLS sertifikasını , birincil çoğaltma olarak kullanılan yeni ikincil çoğaltmaya aktarın. Sertifikayı içeri aktardıktan sonra SQL Server örneğini yeniden başlatın.
5. İstemci uygulaması bağlantı dizelerini, zorunlu şifreleme ile kullanılabilirlik grubuna bağlanacak şekilde güncelleştirin.
6. ALTER AVAILABILITY GROUP with the CLUSTER_CONNECTION_OPTIONS yan tümcesi Encrypt ile özelliğini veya Mandatoryolarak Strict ayarlayın. Bu, kullanılabilirlik grubuna yapılan tüm bağlantıların belirtilen şifreleme türünü kullanmasını sağlar.
7. Kullanılabilirlik grubu şu anda çevrimiçiyse, yeni şifreleme ayarlarını kullanılabilirlik grubuna uygulamak için kullanılabilirlik grubunu ikincil çoğaltmaya devredin. Kullanılabilirlik grubu çevrimiçi olmazsa, doğru ayarlanmamış olabilir ClusterConnectionOptions . Kümenin SQL Server çoğaltmasına bağlanamamasıyla ilgili ODBC hataları için cluster.log denetleyin. İsteğe bağlı olarak, yeni ikincil çoğaltma çevrimiçi olduktan ve kullanılabilirlik grubuna bağlandıktan sonra kullanılabilirlik grubunu özgün birincil çoğaltmaya geri döndürebilirsiniz.
8. (İsteğe bağlı) Her çoğaltma için bağlantı protokolü için SQL Server Configuration Manager özelliklerinde Yes Zorla seçeneğini ayarlayarak şifrelemeyi daha da zorlayabilirsiniz. Bu ayar, kullanılabilirlik grubu çoğaltmalarına yönelik tüm bağlantıların katı şifreleme kullanmasını sağlar. Bu ayarı değiştirdikten sonra her SQL Server çoğaltmasını yeniden başlatın.

Yük devretme kümesi örneğine bağlanma

SQL Server 2025 (17.x) ile başlayarak, Strict veya Mandatory bağlantı şifreleme türünü kullanarak Windows Server Yük Devretme Kümeniz ile bir Always On yük devretme kümesi örneği arasındaki iletişimi şifreleyebilirsiniz. Bunu yapmak için şu adımları izleyin:

1. Henüz yapmadıysanız TLS sertifikasınısertifika gereksinimleriyle tanımlandığı gibi yük devretme kümesinin her düğümüne aktarın. Sertifikayı içeri aktardıktan sonra SQL Server örneğini yeniden başlatın.
2. Şifrelemeyi zorunlu kılan bu makalede belirtilen yöntemlerden birini kullanarak yük devretme kümesi örneğine yönelik bağlantıları test edin.
3. özelliğini veya CLUSTER_CONNECTION_OPTIONSolarak ayarlamak için yan tümcesiyle EncryptMandatoryStrict Bu, yük devretme kümesi örneğine yapılan tüm bağlantıların belirtilen şifreleme türünü kullanmasını sağlar.
4. Yeni şifreleme ayarlarını yük devretme kümesi örneğine uygulamak için örneği ikincil düğüme devredin. Yük devretme kümesi örneği çevrimiçi olmazsa, doğru ayarlanmamış olabilir ClusterConnectionOptions . Kümenin SQL Server örneğine bağlanamamasıyla ilgili ODBC hataları için cluster.log denetleyin. İsteğe bağlı olarak, yeni ikincil düğüm çevrimiçi olduktan ve yük devretme kümesi örneğine bağlandıktan sonra örneği özgün birincil düğüme geri döndürebilirsiniz.
5. (İsteğe bağlı) Kümedeki her düğüm için bağlantı protokolü için SQL Server Configuration Manager özelliklerinde Yes Zorla seçeneğini ayarlayarak şifrelemeyi daha da zorlayabilirsiniz. Bu ayar, yük devretme kümesi örneğine yapılan tüm bağlantıların katı şifreleme kullanmasını sağlar. İkincil düğümde bu değişikliği yapın, örneğin yükünü ona devredin ve ardından değişikliği birincil düğümde yapın.

SQL Server Configuration Manager ile katı şifrelemeye zorlama

SQL Server 2022 (16.x) ile başlayarak SQL Server Configuration Manager'ı kullanarak katı şifreleme uygulayabilirsiniz. Bunu yapmak için şu adımları izleyin:

1. SQL Server Configuration Manager'i açın.

2. Sol bölmede SQL Server Ağ Yapılandırması'nı genişletin ve [InstanceName] protokolleri'ni seçin.

3. TCP/IP'ye sağ tıklayın ve Özellikler'i seçin.

4. TCP/IP Özellikleri iletişim kutusunda Bayraklar sekmesine gidin ve Katı Şifrelemeye Zorla seçeneği için Evet'i seçin:

   

5. Değişiklikleri uygulamak için bakım penceresi sırasında SQL Server örneğini yeniden başlatın.

Açıklamalar

görürseniz SSL certificate validation failedşunu doğrulayın:

• Sunucu sertifikası test için kullandığınız makinede geçerlidir
• Aşağıdakilerden en az biri doğrudur:
  • Sağlayıcı SQL Server CA adıyla veya sertifikadaki DNS adlarından biriyle eşleşir.
  • HostNameInCertificate bağlantı dizesi özelliği CA adıyla veya sertifikadaki DNS adlarından biriyle eşleşir.

İlgili içerik

• TDS 8.0
• TLS 1.3'i yapılandırma