Partager via

Erreur « Impossible d’établir la connexion » après l’implémentation des stratégies de suite de chiffrement sur une machine SQL Server

  • Article

Cet article vous aide à résoudre les problèmes qui se produisent après avoir implémenté des stratégies de suite de chiffrement sur un serveur. Si les suites de chiffrement prises en charge sur un client et un serveur ne correspondent pas, la connexion peut échouer.

Symptômes

Après avoir implémenté des stratégies de suite de chiffrement sur un serveur, vous recevez le message d’erreur suivant :

une connexion existante a dû être fermée par l’hôte distant. [SQLSTATE 42000] (Erreur 10054) Le fournisseur OLE DB « » pour le serveur lié « Nom de base de données » a retourné le message « Le client ne peut pas établir de connexion ».

Cause 1 : Rivest Cipher 4 (RC4) n’est pas inclus

Si une suite de chiffrement n’inclut pas Rivest Cipher 4 (RC4), toute tentative d’utilisation de RC4 pour le chiffrement échoue. De même, si une suite de chiffrement inclut RC4 mais que l’une des parties impliquées ne le fait pas, la négociation échoue et aucune connexion n’est établie.

Solution

Effectuez les étapes suivantes :

  1. Vérifiez si la msds-supportedEncryptionType propriété est définie. Si la propriété n’est pas définie, seule RC4 est activée.
  2. Définissez la valeur de cette propriété sur 28 pour activer RC4, AES128 et AES256.

Cause 2 : Incompatibilité dans les versions tls (Transport Layer Security)

Il existe une incompatibilité dans les versions TLS (Transport Layer Security). Ce problème peut se produire si le client lance la connexion à l’aide de TLS 1.0. Les suites de chiffrement modernes ne prennent souvent pas en charge TLS 1.0, car elles préfèrent des versions plus sécurisées, telles que TLS 1.2.

Solution

Effectuez les étapes suivantes :

  1. Vérifiez que le pilote client prend en charge TLS 1.2. Si ce n’est pas le cas, mettez à jour le pilote.

  2. Ajoutez les chiffrements suivants à la stratégie locale pour prendre en charge la communication TLS 1.0 :

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

Voir aussi

Une connexion existante a été fermée de force par l’hôte distant (erreur de système d’exploitation 10054)