Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)

 

DIESES THEMA GILT FÜR:jaSQL Server (ab 2016)neinAzure SQL-DatenbankneinAzure SQL Data Warehouse neinParallel Data Warehouse

In diesem Thema wird beschrieben, wie Sie verschlüsselte Verbindungen für eine Instanz von SQL Server-Datenbankmodul durch Angeben eines Zertifikats für die Datenbankmodul mithilfe des SQL Server -Konfigurations-Managers aktivieren können. Für den Servercomputer muss ein Zertifikat bereitgestellt worden sein, und der Clientcomputer muss so eingerichtet sein, dass er die Stammzertifizierungsstelle des Zertifikats als vertrauenswürdig einstuft. Zertifikate werden bereitgestellt, indem sie mithilfe eines Importvorgangs in Windows installiert werden.

Das Zertifikat muss für die Serverauthentifizierungausgegeben sein. Der Name des Zertifikats muss der vollqualifizierte Domänenname (FQDN) des Computers sein.

Zertifikate werden lokal für diesen Benutzer auf dem Computer gespeichert. Um ein Zertifikat zur Verwendung durch SQL Serverzu installieren, müssen Sie den SQL Server -Konfigurations-Manager unter dem gleichen Benutzerkonto ausführen wie den SQL Server -Dienst. Nur wenn der Dienst als LocalSystem, NetworkService oder LocalService ausgeführt wird, kann ein administratives Konto verwendet werden.

Der Client muss in der Lage sein, den Besitzer des vom Server verwendeten Zertifikats zu überprüfen. Wenn der Client über das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle verfügt, die das Serverzertifikat signiert hat, sind keine weiteren Konfigurationsschritte erforderlich. Microsoft Windows enthält die Zertifikate für öffentliche Schlüssel von vielen Zertifizierungsstellen. Wenn das Serverzertifikat von einer öffentlichen oder privaten Zertifizierungsstelle signiert wurde, für die der Client kein öffentliches Schlüsselzertifikat besitzt, müssen Sie das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle installieren, die das Serverzertifikat signiert hat.

System_CAPS_ICON_note.jpg Hinweis


Wenn Sie die Verschlüsselung bei einem Failovercluster verwenden möchten, müssen Sie das Serverzertifikat mit dem vollqualifizierten DNS-Namen des virtuellen Servers auf allen Knoten im Failovercluster installieren. Wenn Sie z.B. über einen Cluster mit zwei Knoten verfügen, wobei die Knotennamen test1.<Ihr_Unternehmen>.com und test2.<Ihr_Unternehmen>.com lauten, und ein virtueller Server den Namen „virtsql“ trägt, müssen Sie ein Zertifikat für virtsql.<Ihr_Unternehmen>.com auf beiden Knoten installieren. Sie können den Wert der Option ForceEncryptionauf Yes.

System_CAPS_ICON_note.jpg Hinweis

Wenn Sie eine verschlüsselte Verbindung für einen Azure Search-Indexer zu SQL Server auf einer Azure-VM erstellen wollen, finden Sie weitere Informationen unter Konfigurieren einer Verbindung eines Azure Search-Indexers mit SQL Server auf einer Azure-VM.


So stellen Sie ein Zertifikat auf dem Server bereit bzw. installieren Sie ein Zertifikat

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie in das Feld Öffnen den Wert MMC ein, und klicken Sie dann auf OK.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

  4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Zertifikate-Snap-In auf Computerkonto, und klicken Sie dann auf Fertig stellen.

  6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

  7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  8. Erweitern Sie im Dialogfeld Zertifikate-Snap-In die Option Zertifikate, erweitern Sie Eigene Zertifikate, und klicken Sie dann mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren.

  9. Klicken Sie mit der rechten Maustaste auf das importierte Zertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Privatschlüssel verwalten. Fügen Sie im Dialogfeld Sicherheit die Leseberechtigung für das Benutzerkonto hinzu, das vom SQL Server-Dienstkonto verwendet wird.

  10. Ergänzen Sie die Angaben im Zertifikatimport-Assistenten, um dem Computer ein Zertifikat hinzuzufügen, und schließen Sie dann die MMC-Konsole. Weitere Informationen zum Hinzufügen von Zertifikaten zu einem Computer finden Sie in der Windows-Dokumentation.

So exportieren Sie das Serverzertifikat

  1. Erweitern Sie im Zertifikate-Snap-In den Ordner Zertifikate / Eigene Zertifikate, klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.

  2. Führen Sie den Zertifikatexport-Assistentenaus, und speichern Sie die Zertifikatsdatei in einem geeigneten Speicherort.

So konfigurieren Sie den Server zum Annehmen verschlüsselter Verbindungen

  1. Erweitern Sie im SQL Server Configuration Manager den Eintrag SQL Server-Netzwerkkonfiguration, klicken Sie mit der rechten Maustaste auf Protokolle für >, und wählen Sie dann Eigenschaften.

  2. Wählen Sie im Dialogfeld Eigenschaften von Protokolle für<Instanzname> auf der Registerkarte Zertifikat das gewünschte Zertifikat aus der Dropdownliste für das Feld Zertifikat aus, und klicken Sie dann auf OK.

  3. Aktivieren Sie auf der Registerkarte Flags im Feld ForceEncryption die Option Ja, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.

  4. Starten Sie den SQL Server -Dienst neu.

So konfigurieren Sie den Client zum Anfordern verschlüsselter Verbindungen

  1. Kopieren Sie entweder das Originalzertifikat oder die exportierte Zertifikatsdatei auf den Clientcomputer.

  2. Installieren Sie auf dem Clientcomputer mithilfe des Zertifikate-Snap-Ins entweder das Stammzertifikat oder die exportierte Zertifikatsdatei.

  3. Klicken Sie im Konsolenbereich mit der rechten Maustaste auf SQL Server Native Client-Konfiguration, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf der Seite Flags im Feld Protokollverschlüsselung erzwingen auf Ja.

So verschlüsseln Sie eine Verbindung in SQL Server Management Studio

  1. Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden, und klicken Sie dann auf Datenbankmodul.

  2. Vervollständigen Sie im Dialogfeld Verbindung mit Server herstellen die Verbindungseinstellungen, und klicken Sie dann auf Optionen.

  3. Klicken Sie auf der Registerkarte Verbindungseigenschaften auf Verbindung verschlüsseln.

TLS 1.2-Unterstützung für Microsoft SQL Server

Community-Beiträge

HINZUFÜGEN
Anzeigen: