Delen via


Beveiligingsconfiguratie splitsen en samenvoegen

Van toepassing op: Azure SQL Database

Als u de splits-/samenvoegservice wilt gebruiken, moet u de beveiliging juist configureren. De service maakt deel uit van de functie Elastisch schalen van Azure SQL Database. Zie de zelfstudie voor splits- en samenvoegingsservice voor elastisch schalen voor meer informatie.

Certificaten configureren

Certificaten worden op twee manieren geconfigureerd.

  1. Het TLS/SSL-certificaat configureren
  2. Clientcertificaten configureren

Certificaten verkrijgen

Certificaten kunnen worden verkregen van openbare certificeringsinstanties (CA's) of van de Windows Certificate Service. Dit zijn de voorkeursmethoden voor het verkrijgen van certificaten.

Als deze opties niet beschikbaar zijn, kunt u zelfondertekende certificaten genereren.

Hulpprogramma's voor het genereren van certificaten

De hulpprogramma's uitvoeren

Het TLS/SSL-certificaat configureren

Er is een TLS/SSL-certificaat vereist om de communicatie te versleutelen en de server te verifiëren. Kies de meest toepasselijke van de onderstaande drie scenario's en voer alle bijbehorende stappen uit:

Een nieuw zelfondertekend certificaat maken

  1. Een zelfondertekend certificaat maken
  2. PFX-bestand maken voor zelfondertekend TLS/SSL-certificaat
  3. TLS/SSL-certificaat uploaden naar cloudservice
  4. TLS/SSL-certificaat bijwerken in serviceconfiguratiebestand
  5. TLS/SSL-certificeringsinstantie importeren

Een bestaand certificaat uit het certificaatarchief gebruiken

  1. TLS/SSL-certificaat exporteren uit het certificaatarchief
  2. TLS/SSL-certificaat uploaden naar cloudservice
  3. TLS/SSL-certificaat bijwerken in serviceconfiguratiebestand

Een bestaand certificaat gebruiken in een PFX-bestand

  1. TLS/SSL-certificaat uploaden naar cloudservice
  2. TLS/SSL-certificaat bijwerken in serviceconfiguratiebestand

Clientcertificaten configureren

Clientcertificaten zijn vereist om aanvragen voor de service te verifiëren. Kies de meest toepasselijke van de onderstaande drie scenario's en voer alle bijbehorende stappen uit:

Clientcertificaten uitschakelen

  1. Verificatie op basis van clientcertificaten uitschakelen

Nieuwe zelfondertekende clientcertificaten uitgeven

  1. Een zelfondertekende certificeringsinstantie maken
  2. CA-certificaat uploaden naar cloudservice
  3. CA-certificaat bijwerken in serviceconfiguratiebestand
  4. Clientcertificaten uitgeven
  5. PFX-bestanden maken voor clientcertificaten
  6. Clientcertificaat importeren
  7. Vingerafdruk van clientcertificaat kopiëren
  8. Toegestane clients configureren in het serviceconfiguratiebestand

Bestaande clientcertificaten gebruiken

  1. Openbare CA-sleutel zoeken
  2. CA-certificaat uploaden naar cloudservice
  3. CA-certificaat bijwerken in serviceconfiguratiebestand
  4. Vingerafdruk van clientcertificaat kopiëren
  5. Toegestane clients configureren in het serviceconfiguratiebestand
  6. Controle voor het intrekken van clientcertificaten configureren

Toegestane IP-adressen

Toegang tot de service-eindpunten kan worden beperkt tot specifieke bereiken van IP-adressen.

Versleuteling voor het archief configureren

Een certificaat is vereist voor het versleutelen van de referenties die zijn opgeslagen in het metagegevensarchief. Kies de meest toepasselijke van de onderstaande drie scenario's en voer alle bijbehorende stappen uit:

Een nieuw zelfondertekend certificaat gebruiken

  1. Een zelfondertekend certificaat maken
  2. PFX-bestand maken voor zelfondertekend versleutelingscertificaat
  3. Versleutelingscertificaat uploaden naar cloudservice
  4. Versleutelingscertificaat bijwerken in serviceconfiguratiebestand

Een bestaand certificaat uit het certificaatarchief gebruiken

  1. Versleutelingscertificaat exporteren uit certificaatarchief
  2. Versleutelingscertificaat uploaden naar cloudservice
  3. Versleutelingscertificaat bijwerken in serviceconfiguratiebestand

Een bestaand certificaat gebruiken in een PFX-bestand

  1. Versleutelingscertificaat uploaden naar cloudservice
  2. Versleutelingscertificaat bijwerken in serviceconfiguratiebestand

De standaardconfiguratie

De standaardconfiguratie weigert alle toegang tot het HTTP-eindpunt. Dit is de aanbevolen instelling, omdat de aanvragen voor deze eindpunten gevoelige informatie, zoals databasereferenties, kunnen bevatten. Met de standaardconfiguratie is alle toegang tot het HTTPS-eindpunt toegestaan. Deze instelling kan verder worden beperkt.

De configuratie wijzigen

De groep toegangsbeheerregels die van toepassing zijn op en eindpunt worden geconfigureerd in de sectie EndpointAcls> in het serviceconfiguratiebestand.<

<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpIn" accessControl="DenyAll" />
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="AllowAll" />
</EndpointAcls>

De regels in een toegangsbeheergroep worden geconfigureerd in de <sectie AccessControl name=""> van het serviceconfiguratiebestand.

De indeling wordt uitgelegd in de documentatie voor netwerktoegangsbeheerlijsten. Als u bijvoorbeeld alleen IP-adressen in het bereik 100.100.0.0 tot 100.100.255.255 wilt toestaan om toegang te krijgen tot het HTTPS-eindpunt, zien de regels er als volgt uit:

<AccessControl name="Retricted">
    <Rule action="permit" description="Some" order="1" remoteSubnet="100.100.0.0/16"/>
    <Rule action="deny" description="None" order="2" remoteSubnet="0.0.0.0/0" />
</AccessControl>
<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="Restricted" />
</EndpointAcls>

Preventie van denial of service

Er zijn twee verschillende mechanismen die worden ondersteund voor het detecteren en voorkomen van Denial of Service-aanvallen:

  • Aantal gelijktijdige aanvragen per externe host beperken (standaard uitgeschakeld)
  • Toegangssnelheid per externe host beperken (standaard ingeschakeld)

Deze zijn gebaseerd op de functies die verder worden gedocumenteerd in Dynamische IP-beveiliging in IIS. Let bij het wijzigen van deze configuratie op de volgende factoren:

  • Het gedrag van proxy's en Network Address Translation-apparaten via de externe hostgegevens
  • Elke aanvraag voor een resource in de webrol wordt overwogen (bijvoorbeeld het laden van scripts, afbeeldingen, enzovoort)

Aantal gelijktijdige toegang beperken

De instellingen voor het configureren van dit gedrag zijn:

<Setting name="DynamicIpRestrictionDenyByConcurrentRequests" value="false" />
<Setting name="DynamicIpRestrictionMaxConcurrentRequests" value="20" />

Wijzig DynamicIpRestrictionDenyByConcurrentRequests in true om deze beveiliging in te schakelen.

Toegangssnelheid beperken

De instellingen voor het configureren van dit gedrag zijn:

<Setting name="DynamicIpRestrictionDenyByRequestRate" value="true" />
<Setting name="DynamicIpRestrictionMaxRequests" value="100" />
<Setting name="DynamicIpRestrictionRequestIntervalInMilliseconds" value="2000" />

Het antwoord op een geweigerde aanvraag configureren

Met de volgende instelling configureert u het antwoord op een geweigerde aanvraag:

<Setting name="DynamicIpRestrictionDenyAction" value="AbortRequest" />

Raadpleeg de documentatie voor dynamische IP-beveiliging in IIS voor andere ondersteunde waarden.

Bewerkingen voor het configureren van servicecertificaten

Dit onderwerp is alleen ter referentie. Volg de configuratiestappen die worden beschreven in:

  • Het TLS/SSL-certificaat configureren
  • Clientcertificaten configureren

Een zelfondertekend certificaat maken

Uitvoeren:

makecert ^
  -n "CN=myservice.cloudapp.net" ^
  -e MM/DD/YYYY ^
  -r -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.1" ^
  -a sha256 -len 2048 ^
  -sv MySSL.pvk MySSL.cer

Aanpassen:

  • -n met de service-URL. Jokertekens ('CN=*.cloudapp.net') en alternatieve namen ('CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net') worden ondersteund.
  • -e met de vervaldatum van het certificaat Maak een sterk wachtwoord en geef het op wanneer hierom wordt gevraagd.

PFX-bestand maken voor zelfondertekend TLS/SSL-certificaat

Uitvoeren:

pvk2pfx -pvk MySSL.pvk -spc MySSL.cer

Voer een wachtwoord in en exporteer het certificaat met de volgende opties:

  • Ja, de persoonlijke sleutel exporteren
  • Exporteer alle uitgebreide eigenschappen

TLS/SSL-certificaat exporteren uit het certificaatarchief

  • Certificaat zoeken
  • Klik op Acties -> Alle taken -> Exporteren...
  • Certificaat exporteren naar een . PFX-bestand met de volgende opties:
    • Ja, de persoonlijke sleutel exporteren
    • Alle certificaten opnemen in het certificeringspad indien mogelijk *Alle uitgebreide eigenschappen exporteren

TLS/SSL-certificaat uploaden naar cloudservice

Upload het certificaat met het bestaande of gegenereerde certificaat. PFX-bestand met het TLS-sleutelpaar:

  • Voer het wachtwoord in dat de persoonlijke sleutelgegevens beveiligt

TLS/SSL-certificaat bijwerken in serviceconfiguratiebestand

Werk de vingerafdrukwaarde van de volgende instelling in het serviceconfiguratiebestand bij met de vingerafdruk van het certificaat dat is geüpload naar de cloudservice:

<Certificate name="SSL" thumbprint="" thumbprintAlgorithm="sha1" />

TLS/SSL-certificeringsinstantie importeren

Volg deze stappen in alle accounts/computers die communiceren met de service:

  • Dubbelklik op de knop . CER-bestand in Windows Verkenner
  • Klik in het dialoogvenster Certificaat op Certificaat installeren...
  • Certificaat importeren in het archief vertrouwde basiscertificeringsinstanties

Verificatie op basis van clientcertificaten uitschakelen

Alleen verificatie op basis van clientcertificaten wordt ondersteund en uitgeschakeld, biedt openbare toegang tot de service-eindpunten, tenzij andere mechanismen aanwezig zijn (bijvoorbeeld Microsoft Azure Virtual Network).

Wijzig deze instellingen in false in het serviceconfiguratiebestand om de functie uit te schakelen:

<Setting name="SetupWebAppForClientCertificates" value="false" />
<Setting name="SetupWebserverForClientCertificates" value="false" />

Kopieer vervolgens dezelfde vingerafdruk als het TLS/SSL-certificaat in de CA-certificaatinstelling:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Een zelfondertekende certificeringsinstantie maken

Voer de volgende stappen uit om een zelfondertekend certificaat te maken om te fungeren als certificeringsinstantie:

makecert ^
-n "CN=MyCA" ^
-e MM/DD/YYYY ^
 -r -cy authority -h 1 ^
 -a sha256 -len 2048 ^
  -sr localmachine -ss my ^
  MyCA.cer

Deze aanpassen

  • -e met de vervaldatum van de certificering

Openbare CA-sleutel zoeken

Alle clientcertificaten moeten zijn uitgegeven door een certificeringsinstantie die wordt vertrouwd door de service. Zoek de openbare sleutel naar de certificeringsinstantie die de clientcertificaten heeft uitgegeven die worden gebruikt voor verificatie om deze te uploaden naar de cloudservice.

Als het bestand met de openbare sleutel niet beschikbaar is, exporteert u het vanuit het certificaatarchief:

  • Certificaat zoeken
    • Zoeken naar een clientcertificaat dat is uitgegeven door dezelfde certificeringsinstantie
  • Dubbelklik op het certificaat.
  • Selecteer het tabblad Certificeringspad in het dialoogvenster Certificaat.
  • Dubbelklik op de CA-vermelding in het pad.
  • Noteer de certificaateigenschappen.
  • Sluit het dialoogvenster Certificaat .
  • Certificaat zoeken
    • Zoek de certificeringsinstantie die hierboven is genoteerd.
  • Klik op Acties -> Alle taken -> Exporteren...
  • Certificaat exporteren naar een . CER met deze opties:
    • Nee, exporteer de persoonlijke sleutel niet
    • Neem indien mogelijk alle certificaten op in het certificeringspad.
    • Alle uitgebreide eigenschappen exporteren.

CA-certificaat uploaden naar cloudservice

Upload het certificaat met het bestaande of gegenereerde certificaat. CER-bestand met de openbare CA-sleutel.

CA-certificaat bijwerken in serviceconfiguratiebestand

Werk de vingerafdrukwaarde van de volgende instelling in het serviceconfiguratiebestand bij met de vingerafdruk van het certificaat dat is geüpload naar de cloudservice:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Werk de waarde van de volgende instelling bij met dezelfde vingerafdruk:

<Setting name="AdditionalTrustedRootCertificationAuthorities" value="" />

Clientcertificaten uitgeven

Elke persoon die gemachtigd is voor toegang tot de service, moet een clientcertificaat hebben uitgegeven voor exclusief gebruik en moet een eigen sterk wachtwoord kiezen om de persoonlijke sleutel te beveiligen.

De volgende stappen moeten worden uitgevoerd op dezelfde computer waarop het zelfondertekende CA-certificaat is gegenereerd en opgeslagen:

makecert ^
  -n "CN=My ID" ^
  -e MM/DD/YYYY ^
  -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.2" ^
  -a sha256 -len 2048 ^
  -in "MyCA" -ir localmachine -is my ^
  -sv MyID.pvk MyID.cer

Aanpassen:

  • -n met een id voor de client die wordt geverifieerd met dit certificaat
  • -e met de vervaldatum van het certificaat
  • MyID.pvk en MyID.cer met unieke bestandsnamen voor dit clientcertificaat

Met deze opdracht wordt gevraagd om een wachtwoord te maken en vervolgens eenmaal te gebruiken. Gebruik een sterk wachtwoord.

PFX-bestanden maken voor clientcertificaten

Voer voor elk gegenereerd clientcertificaat het volgende uit:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Aanpassen:

MyID.pvk and MyID.cer with the filename for the client certificate

Voer een wachtwoord in en exporteer het certificaat met de volgende opties:

  • Ja, de persoonlijke sleutel exporteren
  • Exporteer alle uitgebreide eigenschappen
  • De persoon aan wie dit certificaat wordt uitgegeven, moet het exportwachtwoord kiezen

Clientcertificaat importeren

Elke persoon voor wie een clientcertificaat is uitgegeven, moet het sleutelpaar importeren op de computers die ze gebruiken om met de service te communiceren:

  • Dubbelklik op de knop . PFX-bestand in Windows Verkenner
  • Importeer het certificaat in het persoonlijke archief met ten minste deze optie:
    • Alle uitgebreide eigenschappen opnemen die zijn ingeschakeld

Vingerafdruk van clientcertificaat kopiëren

Elke persoon voor wie een clientcertificaat is uitgegeven, moet deze stappen volgen om de vingerafdruk van het certificaat te verkrijgen, die wordt toegevoegd aan het serviceconfiguratiebestand:

  • Certmgr.exe uitvoeren
  • Het tabblad Persoonlijk selecteren
  • Dubbelklik op het clientcertificaat dat moet worden gebruikt voor verificatie
  • Selecteer in het dialoogvenster Certificaat dat wordt geopend het tabblad Details
  • Zorg ervoor dat Alles weergeven wordt weergegeven
  • Selecteer het veld met de naam Vingerafdruk in de lijst
  • De waarde van de vingerafdruk kopiëren
    • Niet-zichtbare Unicode-tekens vóór het eerste cijfer verwijderen
    • Alle spaties verwijderen

Toegestane clients configureren in het serviceconfiguratiebestand

Werk de waarde van de volgende instelling in het serviceconfiguratiebestand bij met een door komma's gescheiden lijst met de vingerafdrukken van de clientcertificaten die toegang tot de service hebben toegestaan:

<Setting name="AllowedClientCertificateThumbprints" value="" />

Controle voor het intrekken van clientcertificaten configureren

De standaardinstelling controleert niet bij de certificeringsinstantie voor de intrekkingsstatus van clientcertificaten. Als de certificeringsinstantie die de clientcertificaten heeft uitgegeven, dergelijke controles ondersteunt, wijzigt u de volgende instelling met een van de waarden die zijn gedefinieerd in de opsomming X509RevocationMode:

<Setting name="ClientCertificateRevocationCheck" value="NoCheck" />

PFX-bestand maken voor zelfondertekende versleutelingscertificaten

Voer voor een versleutelingscertificaat het volgende uit:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Aanpassen:

MyID.pvk and MyID.cer with the filename for the encryption certificate

Voer een wachtwoord in en exporteer het certificaat met de volgende opties:

  • Ja, de persoonlijke sleutel exporteren
  • Exporteer alle uitgebreide eigenschappen
  • U hebt het wachtwoord nodig bij het uploaden van het certificaat naar de cloudservice.

Versleutelingscertificaat exporteren uit certificaatarchief

  • Certificaat zoeken
  • Klik op Acties -> Alle taken -> Exporteren...
  • Certificaat exporteren naar een . PFX-bestand met de volgende opties:
    • Ja, de persoonlijke sleutel exporteren
    • Neem alle certificaten in het certificaatpad indien mogelijk op
  • Exporteer alle uitgebreide eigenschappen

Versleutelingscertificaat uploaden naar cloudservice

Upload het certificaat met het bestaande of gegenereerde certificaat. PFX-bestand met het versleutelingssleutelpaar:

  • Voer het wachtwoord in dat de persoonlijke sleutelgegevens beveiligt

Versleutelingscertificaat bijwerken in serviceconfiguratiebestand

Werk de vingerafdrukwaarde van de volgende instellingen in het serviceconfiguratiebestand bij met de vingerafdruk van het certificaat dat is geüpload naar de cloudservice:

<Certificate name="DataEncryptionPrimary" thumbprint="" thumbprintAlgorithm="sha1" />

Algemene certificaatbewerkingen

  • Het TLS/SSL-certificaat configureren
  • Clientcertificaten configureren

Certificaat zoeken

Volg vervolgens deze stappen:

  1. Voer mmc.exe uit.
  2. Bestand -> Module toevoegen/verwijderen...
  3. Selecteer Certificaten.
  4. Klik op Toevoegen.
  5. Kies de locatie van het certificaatarchief.
  6. Klik op Voltooien.
  7. Klik op OK.
  8. Vouw certificaten uit.
  9. Vouw het certificaatarchiefknooppunt uit.
  10. Vouw het onderliggende certificaatknooppunt uit.
  11. Selecteer een certificaat in de lijst.

Certificaat exporteren

In de wizard Certificaat exporteren:

  1. Klik op Volgende.
  2. Selecteer Ja en exporteer de persoonlijke sleutel.
  3. Klik op Volgende.
  4. Selecteer de gewenste uitvoerbestandsindeling.
  5. Controleer de gewenste opties.
  6. Controleer het wachtwoord.
  7. Voer een sterk wachtwoord in en bevestig dit.
  8. Klik op Volgende.
  9. Typ of blader door een bestandsnaam waar het certificaat moet worden opgeslagen (gebruik een . PFX-extensie).
  10. Klik op Volgende.
  11. Klik op Voltooien.
  12. Klik op OK.

Certificaat importeren

In de wizard Certificaat importeren:

  1. Selecteer de winkellocatie.

    • Huidige gebruiker selecteren als alleen processen die onder de huidige gebruiker worden uitgevoerd, toegang krijgen tot de service
    • Selecteer Lokale machine als andere processen op deze computer toegang krijgen tot de service
  2. Klik op Volgende.

  3. Als u vanuit een bestand importeert, bevestigt u het bestandspad.

  4. Als u een . PFX-bestand:

    1. Voer het wachtwoord in dat de persoonlijke sleutel beveiligt
    2. Importopties selecteren
  5. Selecteer Certificaten plaatsen in het volgende archief

  6. Klik op Bladeren.

  7. Selecteer de gewenste winkel.

  8. Klik op Voltooien.

    • Als het archief vertrouwde basiscertificeringsinstantie is gekozen, klikt u op Ja.
  9. Klik op OK in alle dialoogvensters.

Certificaat uploaden

In Azure Portal

  1. Selecteer Cloud Services.
  2. Selecteer de cloudservice.
  3. Klik in het bovenste menu op Certificaten.
  4. Klik op de onderste balk op Uploaden.
  5. Selecteer het certificaatbestand.
  6. Als het een . PFX-bestand voert u het wachtwoord voor de persoonlijke sleutel in.
  7. Als het certificaat is voltooid, kopieert u de vingerafdruk van het certificaat uit de nieuwe vermelding in de lijst.

Andere beveiligingsoverwegingen

De TLS-instellingen die in dit document worden beschreven, versleutelen de communicatie tussen de service en de clients wanneer het HTTPS-eindpunt wordt gebruikt. Dit is belangrijk omdat referenties voor databasetoegang en mogelijk andere gevoelige informatie zijn opgenomen in de communicatie. Houd er echter rekening mee dat de service de interne status, inclusief referenties, behoudt in de interne tabellen in de database in Azure SQL Database die u hebt opgegeven voor metagegevensopslag in uw Microsoft Azure-abonnement. Deze database is gedefinieerd als onderdeel van de volgende instelling in uw serviceconfiguratiebestand (. CSCFG-bestand):

<Setting name="ElasticScaleMetadata" value="Server=…" />

Referenties die zijn opgeslagen in deze database, worden versleuteld. Als best practice moet u er echter voor zorgen dat zowel web- als werkrollen van uw service-implementaties up-to-date en beveiligd blijven, omdat ze beide toegang hebben tot de metagegevensdatabase en het certificaat dat wordt gebruikt voor versleuteling en ontsleuteling van opgeslagen referenties.

Aanvullende bronnen

Gebruikt u nog geen hulpprogramma's voor elastische databases? Bekijk de handleiding Aan de slag. Neem voor vragen contact met ons op op de microsoft Q&A-vragenpagina voor SQL Database en voor functieaanvragen, voeg nieuwe ideeën toe of stem op bestaande ideeën in het feedbackforum van SQL Database.