Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)

  • Статья

В этом разделе описано, как активировать зашифрованные соединения для экземпляра компонента Компонент SQL Server Database Engine, указав сертификат для компонента Компонент Database Engine с помощью диспетчера конфигурации SQL Server. Компьютеру сервера должен быть назначен сертификат, а компьютер клиента должен доверять корневому центру сертификации. Провизионирование — это процесс установки сертификата путем импорта сертификата в систему Windows.

Сертификат должен быть включен для проверки подлинности сервера. Имя сертификата должно быть полным доменным именем (FQDN) компьютера.

Сертификаты хранятся локально на пользовательских компьютерах. Чтобы установить сертификат для использования в SQL Server, необходимо запустить диспетчер конфигурации SQL Server под той же учетной записью пользователя, что и службу SQL Server, если только служба не запущена как LocalSystem, NetworkService или LocalService — в этих случаях необходима учетная запись администратора.

Клиент должен уметь проверить принадлежность сертификата, используемого сервером. Если у клиента есть сертификат открытого ключа центра сертификации, который подписал сертификат сервера, то дальнейшее конфигурирование не требуется. Microsoft Windows включает сертификаты открытого ключа нескольких центров сертификации. Если сертификат сервера был подписан общедоступным или частным центром сертификации, для которого у клиента нет сертификата открытого ключа, необходимо установить сертификат открытого ключа того центра сертификации, который подписал сертификат сервера.

ПримечаниеПримечание

Чтобы использовать шифрование в отказоустойчивом кластере, необходимо установить сертификат сервера с полным именем DNS виртуального сервера на все узлы отказоустойчивого кластера. Например, для кластера, имеющего два узла с именами test1.<your company>.com и test2.<your company>.com, и виртуального сервера virtsql, необходимо установить сертификат для virtsql.<your company>.com на оба узла. Параметр ForceEncryption вы можете установить в значение Да.

В этом разделе

  • Включение зашифрованных соединений

    Установка сертификата на сервер

    Экспорт сертификата сервера

    Настройка сервера на прием зашифрованных соединений

    Настройка клиента на прием зашифрованных соединений

    Шифрование соединения из среды SQL Server Management Studio

Назначение (установка) сертификата на сервер

  1. В меню Пуск выберите команду Выполнить, в окне Открыть введите MMC и нажмите кнопку ОК.

  2. В консоли MMC в меню Консоль выберите Добавить или удалить оснастку.

  3. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.

  4. В диалоговом окне Добавить изолированную оснастку выберите Сертификаты и нажмите кнопку Добавить.

  5. В диалоговом окне Оснастка диспетчера сертификатов выберите учетная запись компьютера и нажмите кнопку Готово.

  6. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.

  7. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.

  8. В оснастке Сертификаты разверните Сертификаты, разверните Личное, правой кнопкой мыши щелкните Сертификаты, укажите мышью Все задачи и нажмите кнопку Импорт.

  9. Чтобы добавить сертификат на компьютер, выполните Мастер импорта сертификатов и закройте консоль MMC. Дополнительные сведения о добавлении сертификатов на компьютер см. в документации по Windows.

    Значок стрелки, используемый со ссылкой «В начало»[В начало]

Экспорт сертификата сервера

  1. В оснастке Сертификаты найдите сертификат в папке Сертификаты/личное, правой кнопкой мыши щелкните Сертификат, укажите Все задачи и выберите Экспорт.

  2. Чтобы сохранить файл сертификата в удобном расположении, завершите Мастер экспорта сертификатов.

    Значок стрелки, используемый со ссылкой «В начало»[В начало]

Настройка сервера на прием зашифрованных соединений

  1. В окне Диспетчер конфигурации SQL Server разверните узел Сетевая конфигурация SQL Server, щелкните правой кнопкой мыши элемент Протоколы для <server instance>, затем выберите пунктСвойства.

  2. В диалоговом окне Свойства протоколов для <instance name> на вкладке Сертификат выберите необходимый сертификат из раскрывающегося списка Сертификат и нажмите кнопку ОК.

  3. На вкладке Флаги в окне ForceEncryption выберите Да, затем нажмите кнопку ОК, чтобы закрыть диалоговое окно.

  4. Перезапустите службу SQL Server.

    Значок стрелки, используемый со ссылкой «В начало»[В начало]

Настройка клиента на прием зашифрованных соединений

  1. Скопируйте на компьютер клиента исходный сертификат или экспортированный файл сертификата.

  2. Чтобы установить корневой сертификат или экспортированный файл сертификата, используйте на компьютере клиента оснастку Сертификаты.

  3. На панели консоли щелкните правой кнопкой мыши элемент Конфигурация собственного клиента SQL Server, затем нажмите Свойства.

  4. На странице Флаги в диалоговом окне Принудительное шифрование протокола нажмите Да.

    Значок стрелки, используемый со ссылкой «В начало»[В начало]

Шифрование соединения из среды SQL Server Management Studio

  1. На панели инструментов обозревателя объектов нажмите кнопку Соединить и выберите Компонент Database Engine.

  2. В диалоговом окне Соединение с сервером введите все данные, необходимые для подключения, а затем нажмите Параметры.

  3. На вкладке Свойства соединения нажмите Шифровать соединение.

Запуск диспетчера конфигурации SQL Server с помощью Windows 8

Поскольку диспетчер конфигурации SQL Server является оснасткой консоли управления Microsoft, а не изолированной программой, при работе в Windows 8 диспетчер конфигурации SQL Server не отображается как приложение. Чтобы открыть диспетчер конфигурации SQL Server при помощи чудо-кнопки Поиск, на вкладке Приложения введите SQLServerManager11.msc (для SQL Server 2012) или SQLServerManager10.msc (для SQL Server 2008) и нажмите клавишу ВВОД.

Значок стрелки, используемый со ссылкой «В начало»[В начало]