Freigeben über


Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine

In diesem Thema wird beschrieben, wie verschlüsselte Verbindungen für eine Instanz der SQL Server-Datenbank-Engine durch Angeben eines Zertifikats für die Datenbank-Engine mithilfe von SQL Server-Konfigurations-Manager aktiviert werden. Für den Servercomputer muss ein Zertifikat bereitgestellt worden sein, und der Clientcomputer muss so eingerichtet sein, dass er die Stammzertifizierungsstelle des Zertifikats als vertrauenswürdig einstuft. Zertifikate werden bereitgestellt, indem sie mithilfe eines Importvorgangs in Windows installiert werden.

Das Zertifikat muss für die Serverauthentifizierungausgegeben sein. Der Name des Zertifikats muss der vollqualifizierte Domänenname (FQDN) des Computers sein.

Zertifikate werden lokal für diesen Benutzer auf dem Computer gespeichert. Um ein Zertifikat für die Verwendung von SQL Server zu installieren, müssen Sie SQL Server-Konfigurations-Manager unter demselben Benutzerkonto wie der SQL Server-Dienst ausführen, es sei denn, der Dienst wird als "LocalSystem", "NetworkService" oder "LocalService" ausgeführt. In diesem Fall können Sie ein Administratorkonto verwenden.

Der Client muss in der Lage sein, den Besitzer des vom Server verwendeten Zertifikats zu überprüfen. Wenn der Client über das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle verfügt, die das Serverzertifikat signiert hat, sind keine weiteren Konfigurationsschritte erforderlich. Microsoft Windows enthält die Zertifikate für öffentliche Schlüssel von vielen Zertifizierungsstellen. Wenn das Serverzertifikat von einer öffentlichen oder privaten Zertifizierungsstelle signiert wurde, für die der Client kein öffentliches Schlüsselzertifikat besitzt, müssen Sie das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle installieren, die das Serverzertifikat signiert hat.

Hinweis

Wenn Sie die Verschlüsselung bei einem Failovercluster verwenden möchten, müssen Sie das Serverzertifikat mit dem vollqualifizierten DNS-Namen des virtuellen Servers auf allen Knoten im Failovercluster installieren. Wenn Sie z. B. über einen Cluster mit zwei Knoten verfügen, mit Knoten mit dem Namen "test1".<Ihr Unternehmen>.com und test2.<Ihr Unternehmen>.com und Sie über einen virtuellen Server namens virtsql verfügen, müssen Sie ein Zertifikat für virtsql installieren.<Ihr Unternehmen>.com auf beiden Knoten. Sie können den Wert der Option ForceEncryptionauf Yes.

In diesem Thema

So stellen Sie ein Zertifikat auf dem Server bereit bzw. installieren Sie ein Zertifikat

  1. Klicken Sie im Startmenü auf "Ausführen", und geben Sie im Feld "Öffnen" die Kontrollkästchen MMC "OK" ein, und klicken Sie dann auf "OK".

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Zertifikate-Snap-In auf Computerkonto, und klicken Sie dann auf Fertig stellen.

  6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  8. Erweitern Sie im Dialogfeld Zertifikate-Snap-In die Option Zertifikate, erweitern Sie Eigene Zertifikate, und klicken Sie dann mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren.

  9. Ergänzen Sie die Angaben im Zertifikatimport-Assistenten, um dem Computer ein Zertifikat hinzuzufügen, und schließen Sie dann die MMC-Konsole. Weitere Informationen zum Hinzufügen von Zertifikaten zu einem Computer finden Sie in der Windows-Dokumentation.

So exportieren Sie das Serverzertifikat

  1. Erweitern Sie im Zertifikate -Snap-In den Ordner Zertifikate / Eigene Zertifikate , klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.

  2. Führen Sie den Zertifikatexport-Assistentenaus, und speichern Sie die Zertifikatsdatei in einem geeigneten Speicherort.

So konfigurieren Sie den Server zum Annehmen verschlüsselter Verbindungen

  1. Erweitern Sie in SQL Server-Konfigurations-Manager die SQL Server-Netzwerkkonfiguration, klicken Sie mit der rechten Maustaste auf Protokolle für <Serverinstanzen>, und wählen Sie dann "Eigenschaften" aus.

  2. Wählen Sie im Dialogfeld "Protokolle für<z. B. Nameneigenschaften>" auf der Registerkarte "Zertifikat" das gewünschte Zertifikat aus der Dropdownliste für das Feld "Zertifikat" aus, und klicken Sie dann auf "OK".

  3. Aktivieren Sie auf der Registerkarte Flags im Feld ForceEncryption die Option Ja, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.

  4. Starten Sie den SQL Server-Dienst neu.

So konfigurieren Sie den Client zum Anfordern verschlüsselter Verbindungen

  1. Kopieren Sie entweder das Originalzertifikat oder die exportierte Zertifikatsdatei auf den Clientcomputer.

  2. Installieren Sie auf dem Clientcomputer mithilfe des Zertifikate -Snap-Ins entweder das Stammzertifikat oder die exportierte Zertifikatsdatei.

  3. Klicken Sie im Konsolenbereich mit der rechten Maustaste auf SQL Server Native Client-Konfiguration, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf der Seite Flags im Feld Protokollverschlüsselung erzwingen auf Ja.

So verschlüsseln Sie eine Verbindung in SQL Server Management Studio

  1. Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden, und klicken Sie dann auf Datenbank-Engine.

  2. Vervollständigen Sie im Dialogfeld Verbindung mit Server herstellen die Verbindungseinstellungen, und klicken Sie dann auf Optionen.

  3. Klicken Sie auf der Registerkarte Verbindungseigenschaften auf Verbindung verschlüsseln.