включить шифрование соединений в ядре СУБД (диспетчер конфигурации SQL Server)
В этом разделе описывается, как включить зашифрованные подключения для экземпляра SQL Server ядро СУБД, указав сертификат для ядро СУБД с помощью диспетчер конфигурации SQL Server. Компьютеру сервера должен быть назначен сертификат, а компьютер клиента должен доверять корневому центру сертификации. Провизионирование — это процесс установки сертификата путем импорта сертификата в систему Windows.
Сертификат должен быть включен для проверки подлинности сервера. Имя сертификата должно быть полным доменным именем (FQDN) компьютера.
Сертификаты хранятся локально на пользовательских компьютерах. Чтобы установить сертификат для использования SQL Server, необходимо запустить диспетчер конфигурации SQL Server под той же учетной записью пользователя, что и служба SQL Server, если служба не запущена как LocalSystem, NetworkService или LocalService, в этом случае можно использовать учетную запись администратора.
Клиент должен уметь проверить принадлежность сертификата, используемого сервером. Если у клиента есть сертификат открытого ключа центра сертификации, который подписал сертификат сервера, то дальнейшее конфигурирование не требуется. Microsoft Windows включает сертификаты открытого ключа многих центров сертификации. Если сертификат сервера был подписан общедоступным или частным центром сертификации, для которого у клиента нет сертификата открытого ключа, необходимо установить сертификат открытого ключа того центра сертификации, который подписал сертификат сервера.
Примечание.
Чтобы использовать шифрование в отказоустойчивом кластере, необходимо установить сертификат сервера с полным именем DNS виртуального сервера на все узлы отказоустойчивого кластера. Например, если у вас есть кластер с двумя узлами с именами узлов test1.<ваша компания>.com и test2.<ваша компания>.com и у вас есть виртуальный сервер с именем virtsql, необходимо установить сертификат для virtsql.<ваша компания>.com на обоих узлах. Параметру ForceEncryptionможно присвоить значение Да.
В этом разделе
Чтобы включить зашифрованные подключения, выполните приведенные далее действия.
Подготовка (установка) сертификата на сервере
Настройка сервера для приема зашифрованных подключений
Назначение (установка) сертификата на сервер
В меню "Пуск" нажмите кнопку "Запустить" и в поле "Открыть" введите
MMC
и нажмите кнопку "ОК".В консоли MMC в меню Файл выберите Добавить или удалить оснастку.
В диалоговом окне Добавление или удаление оснастки нажмите кнопку Добавить.
В диалоговом окне Добавление изолированной оснастки выберите Сертификатыи нажмите кнопку Добавить.
В диалоговом окне оснастки Сертификаты выберите Учетная запись компьютераи нажмите кнопку Готово.
В диалоговом окне Добавление изолированной оснастки нажмите кнопку Закрыть.
В диалоговом окне Добавление или удаление оснастки нажмите кнопку ОК.
В оснастке Сертификаты последовательно разверните узлы Сертификатыи Личное, а затем правой кнопкой мыши щелкните Сертификаты, выберите Все задачии нажмите кнопку Импорт.
Чтобы добавить сертификат на компьютер, выполните Мастер импорта сертификатови закройте консоль MMC. Дополнительные сведения о добавлении сертификатов на компьютер см. в документации по Windows.
Экспорт сертификата сервера
В оснастке Сертификаты найдите сертификат в папке Сертификаты / Личное , правой кнопкой мыши щелкните Сертификат, выберите Все задачии нажмите Экспорт.
Чтобы сохранить файл сертификата в удобном расположении, выполните мастер экспорта сертификатов.
Настройка сервера на прием зашифрованных соединений
В диспетчер конфигурации SQL Server разверните узел "Конфигурация сети SQL Server", щелкните правой кнопкой мыши протоколы для< экземпляра> сервера и выберите"Свойства".
В диалоговом окне "Протоколы для<свойств имени> экземпляра" на вкладке "Сертификат" выберите нужный сертификат в раскрывающемся списке "Сертификат" и нажмите кнопку "ОК".
На вкладке Флаги в поле ForceEncryption выберите Да, затем нажмите кнопку ОК , чтобы закрыть диалоговое окно.
Перезапустите службу SQL Server.
Настройка клиента на прием зашифрованных соединений
Скопируйте на компьютер клиента исходный сертификат или экспортированный файл сертификата.
Чтобы установить корневой сертификат или экспортированный файл сертификата на клиентском компьютере, используйте оснастку Сертификаты .
На панели консоли щелкните правой кнопкой мыши элемент Конфигурация собственного клиента SQL Server, затем нажмите Свойства.
На странице Флаги в диалоговом окне Принудительное шифрование протокола выберите Да.
Шифрование соединения из среды SQL Server Management Studio
На панели инструментов обозревателя объектов нажмите кнопку Соединитьи выберите Компонент Database Engine.
В диалоговом окне Соединение с сервером введите все данные, необходимые для подключения, а затем нажмите Параметры.
На вкладке Свойства соединения щелкните Шифровать соединение.