Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Klientský počítač musí důvěřovat certifikátu serveru, aby klient mohl požadovat šifrování TLS (Transport Layer Security) a certifikát už na serveru musí existovat. Nejběžnější scénář šifrování SQL Serveru zahrnuje prostředí, která:
- Zajistí šifrování všech příchozích klientských připojení k SQL Serveru.
- Používejte certifikáty z veřejné komerční certifikační autority, které systém Windows již důvěřuje. Odpovídající kořenový certifikát certifikační autority je nainstalován v úložišti certifikátů důvěryhodných kořenových certifikačních autorit na všech počítačích ve vaší síti.
V tomto scénáři nemusíte provádět další kroky pro úspěšné šifrování po konfiguraci SQL Serveru pro šifrování podle postupu popsaného v tématu Konfigurace databázového stroje SQL Serveru pro šifrování připojení. Tento článek obsahuje postupy pro šifrování připojení k SQL Serveru pro méně běžné scénáře, které nejsou popsány v Konfigurace databázového stroje SQL Serveru pro šifrování připojení.
Poznámka
Úplný seznam účastníků programu Microsoft Trusted Root Program naleznete v tématu Seznam účastníků – Program důvěryhodných kořenových certifikátů společnosti Microsoft.
Použití certifikátu vydaného veřejnou komerční certifikační autoritou a jenom někteří klienti potřebují šifrovaná připojení.
Nakonfigurujte certifikát na SQL Serveru podle postupu popsaného v Konfigurace SQL Serveru tak, aby používal certifikáty.
Zadejte klíčové slovo šifrování ve vlastnostech připojení pro Ano nebo True. Pokud například používáte ovladač Microsoft ODBC pro SQL Server, měl by připojovací řetězec zadat
Encrypt=yes;.
Použití certifikátu vydaného interní certifikační autoritou nebo vytvořeného pomocí New-SelfSignedCertificate nebo makecertu
Scénář 1: Chcete šifrovat všechna připojení k SQL Serveru
Po dokončení obou postupů popsaných v kroku 1 : Konfigurace sql Serveru pro použití certifikátů a Krok 2: Konfigurace nastavení šifrování v SQL Serveru v článku Konfigurace databázového stroje SQL Serveru pro šifrování připojenípoužijte jednu z následujících možností ke konfiguraci klientské aplikace pro šifrování.
možnost 1: Konfigurace klientských aplikací pro certifikát serveru důvěryhodnosti. Toto nastavení způsobí, že klient přeskočí krok, který ověří certifikát serveru a pokračuje v procesu šifrování. Pokud například používáte SQL Server Management Studio (SSMS) 20 a novější verze, můžete na stránce Přihlašovací (nebo na stránce Možnosti v dřívějších verzích) vybrat certifikát důvěryhodného serveru.
Možnost 2: Na každém klientovi přidejte autoritu vydávající certifikát do úložiště důvěryhodných kořenových autorit, postupujte podle následujících kroků:
Exportujte certifikát z počítače se systémem SQL Server pomocí postupu popsaného v Export certifikátu serveru.
Importujte certifikát pomocí postupu popsaného v Export a import certifikátů.
Scénář 2: Šifrovaná připojení potřebují jenom někteří klienti
Jakmile nakonfigurujete certifikát pro SQL Server, jak je uvedeno v kroku 1 v Konfigurace databázového stroje SQL Serveru pro šifrování připojení, pomocí jedné z následujících možností nakonfigurujte klientskou aplikaci pro šifrování:
možnost 1: Nakonfigurujte klientské aplikace tak, aby důvěřovaly certifikátu serveru, a zadejte klíčové slovo šifrování ve vlastnostech připojení pro Ano nebo True. Pokud například používáte ovladač Microsoft ODBC pro SQL Server, měl by připojovací řetězec zadat Encrypt=Yes;TrustServerCertificate=Yes;.
Další informace o certifikátech serveru a šifrování naleznete v tématu Using TrustServerCertificate.
Možnost 2: Na každém klientovi přidejte vydávající autoritu certifikátu do úložiště důvěryhodných kořenových autorit a nastavte parametry šifrování na Ano v připojovacím řetězci:
Exportujte certifikát z počítače se systémem SQL Server pomocí postupu popsaného v Export certifikátu z počítače se systémem SQL Server.
Zadejte klíčové slovo šifrování ve vlastnostech připojení pro Ano nebo True. Pokud například používáte ovladač Microsoft OLEDB pro SQL Server, měl by připojovací řetězec zadat Použít šifrování pro data = Pravda;
Použijte samopodepsaný certifikát automaticky vytvořený SQL Serverem
Scénář 1: Chcete šifrovat všechna příchozí připojení k SQL Serveru
Povolení šifrování na SQL Serveru pomocí postupu Krok 2: Konfigurace nastavení šifrování v SQL Serveru zdokumentované v Konfigurace databázového stroje SQL Serveru pro šifrování připojení.
Nakonfigurujte klientské aplikace tak, aby důvěřovaly certifikátu serveru. Důvěryhodnost certifikátu serveru způsobí, že klient přeskočí krok, který ověří certifikát serveru a pokračuje v procesu šifrování. Pokud například používáte SQL Server Management Studio (SSMS) 20 a novější verze, můžete na stránce Přihlašovací (nebo na stránce Možnosti v dřívějších verzích) vybrat certifikát důvěryhodného serveru.
Scénář 2: Šifrovaná připojení potřebují jenom někteří klienti
Nakonfigurujte klientské aplikace tak, aby důvěřovaly certifikátu serveru, a zadejte šifrovací klíčové slovo ve vlastnostech připojení pro Ano nebo True. Pokud například používáte ovladač Microsoft ODBC pro SQL Server, měl by připojovací řetězec zadat Encrypt=Yes;TrustServerCertificate=Yes;.
Pro tento scénář není na SQL Serveru nutná žádná další konfigurace.
Varování
Připojení TLS/SSL šifrovaná pomocí certifikátu podepsaného svým držitelem neposkytují silné zabezpečení, protože délka klíče v certifikátech podepsaných svým držitelem je kratší než klíč v certifikátech vygenerovaných certifikační autoritou. Jsou náchylní k útokům typu „man-in-the-middle“. Neměli byste spoléhat na protokol TLS/SSL pomocí certifikátů podepsaných svým držitelem v produkčním prostředí nebo na serverech připojených k internetu.