Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden details beschreven over het protocol Transport Layer Security (TLS) en digitale certificaten.
Transportlaagbeveiliging (TLS)
De TLS- en SSL-protocollen bevinden zich tussen de toepassingsprotocollaag en de TCP/IP-laag, waar ze toepassingsgegevens kunnen beveiligen en verzenden naar de transportlaag. TLS/SSL-protocollen maken gebruik van algoritmen uit een coderingssuite om sleutels te maken en informatie te versleutelen. De client en server onderhandelen over de protocolversie en de coderingssuite die moeten worden gebruikt voor versleuteling tijdens de initiële fase van de verbinding (voor het inloggen) wanneer de verbinding tot stand wordt gebracht. De meest ondersteunde TLS-versie heeft altijd de voorkeur in de TLS-handshake. Zie Protocollen in TLS/SSL (Schannel SSP) om de versies van TLS-protocollen te controleren die worden ondersteund door verschillende versies van Windows-besturingssystemen. Er zijn verschillende bekende beveiligingsproblemen gerapporteerd tegen SSL en eerdere versies van TLS. U wordt aangeraden een upgrade uit te voeren naar TLS 1.2 voor beveiligde communicatie.
SQL Server kan TLS gebruiken om gegevens te versleutelen die via een netwerk worden verzonden tussen een exemplaar van SQL Server en een clienttoepassing. TLS maakt gebruik van een certificaat voor het implementeren van versleuteling.
Het inschakelen van TLS-versleuteling verhoogt de beveiliging van gegevens die worden verzonden via netwerken tussen exemplaren van SQL Server en toepassingen. Wanneer echter al het verkeer tussen SQL Server en een clienttoepassing wordt versleuteld met behulp van TLS, is de volgende extra verwerking vereist:
- Er is een extra netwerkronde vereist tijdens het verbinden.
- Pakketten die vanuit de toepassing naar het exemplaar van SQL Server worden verzonden, moeten worden versleuteld door de TLS-clientstack en worden ontsleuteld door de TLS-serverstack.
- Pakketten die vanuit het exemplaar van SQL Server naar de toepassing worden verzonden, moeten worden versleuteld door de TLS-serverstack van de server en moeten worden ontsleuteld door de TLS-clientstack.
Belangrijk
Vanaf SQL Server 2016 (13.x) is Secure Sockets Layer (SSL) stopgezet. Gebruik in plaats daarvan TLS (TLS 1.2). Zie TLS 1.2-ondersteuning voor Microsoft SQL Server voor meer informatie. SQL Server 2022 introduceert ondersteuning voor TLS 1.3. Zie TLS 1.3-ondersteuning voor meer informatie. Als er geen overeenkomende protocollen bestaan tussen de client- en servercomputer, kunt u de fout tegenkomen die wordt beschreven in Een bestaande verbinding is geforceerd gesloten door de externe host.
Overzicht van digitaal certificaat
Digitale certificaten zijn elektronische bestanden die werken als een onlinewachtwoord om de identiteit van een gebruiker of computer te verifiëren. Ze worden gebruikt om het versleutelde kanaal te maken dat wordt gebruikt voor clientcommunicatie. Een certificaat is een digitale verklaring die is uitgegeven door een certificeringsinstantie (CA) die voor de identiteit van de certificaathouder zorgt en de partijen in staat stelt veilig te communiceren met behulp van versleuteling.
Digitale certificaten bieden de volgende services:
- Versleuteling: ze helpen de gegevens te beschermen die worden uitgewisseld tegen diefstal of manipulatie.
- Verificatie: Ze controleren of hun houders (personen, websites en zelfs netwerkapparaten zoals routers) echt zijn wie of wat ze beweren te zijn. Normaal gesproken is de verificatie in één richting, waarbij de bron de identiteit van het doel verifieert, maar wederzijdse TLS-verificatie ook mogelijk is.
Een certificaat bevat een openbare sleutel en koppelt die openbare sleutel aan de identiteit van een persoon, computer of service die de bijbehorende persoonlijke sleutel bevat. De openbare en persoonlijke sleutels worden door de client en de server gebruikt om gegevens te versleutelen voordat deze worden verzonden. Voor Windows-gebruikers, -computers en -services wordt vertrouwen in de CA tot stand gebracht wanneer het basiscertificaat is gedefinieerd in het vertrouwde basiscertificaatarchief en het certificaat een geldig certificeringspad bevat. Een certificaat wordt als geldig beschouwd als het niet is ingetrokken (het staat niet in de certificaatintrekkingslijst van de CA of CRL) of is verlopen.
De drie primaire typen digitale certificaten worden beschreven in de volgende tabel:
| Typ | Beschrijving | Voordelen | Nadelen |
|---|---|---|---|
| Zelfondertekend certificaat | Het certificaat wordt ondertekend door de toepassing die het heeft gemaakt of wordt gemaakt met behulp van New-SelfSignedCertificate. | Kosten (gratis) | - Het certificaat wordt niet automatisch vertrouwd door clientcomputers en mobiele apparaten. Het certificaat moet handmatig worden toegevoegd aan het vertrouwde basiscertificaatarchief op alle clientcomputers en -apparaten, maar niet alle mobiele apparaten staan wijzigingen toe in het vertrouwde basiscertificaatarchief. - Niet alle services werken met zelfondertekende certificaten. - Moeilijk om een infrastructuur voor levenscyclusbeheer van certificaten tot stand te brengen. Zelfondertekende certificaten kunnen bijvoorbeeld niet worden ingetrokken. |
| Certificaat uitgegeven door een interne CA | Het certificaat wordt uitgegeven door een PKI (Public Key Infrastructure) in uw organisatie. Een voorbeeld is Active Directory Certificate Services (AD CS). Zie Overzicht van Active Directory Certificate Services voor meer informatie. | - Hiermee kunnen organisaties hun eigen certificaten uitgeven. - Minder duur dan certificaten van een commerciële CA. |
- Verhoogde complexiteit voor het implementeren en onderhouden van de PKI. - Het certificaat wordt niet automatisch vertrouwd door clientcomputers en mobiele apparaten. Het certificaat moet handmatig worden toegevoegd aan het vertrouwde basiscertificaatarchief op alle clientcomputers en -apparaten, maar niet alle mobiele apparaten staan wijzigingen toe in het vertrouwde basiscertificaatarchief. |
| Certificaat uitgegeven door een commerciële certificaatautoriteit | Het certificaat wordt aangeschaft bij een vertrouwde commerciële certificaatuitgever. | Certificaatimplementatie wordt vereenvoudigd omdat alle clients, apparaten en servers de certificaten automatisch vertrouwen. | Kosten. U moet vooruit plannen om het aantal vereiste certificaten te minimaliseren. |
Om te bewijzen dat een certificaathouder is wie hij of zij beweert te zijn, moet het certificaat de certificaathouder nauwkeurig identificeren aan andere clients, apparaten of servers. De drie basismethoden hiervoor worden beschreven in de volgende tabel:
| Methode | Beschrijving | Voordelen | Nadelen |
|---|---|---|---|
| Overeenkomst met certificaatonderwerp | Het veld Onderwerp van het certificaat bevat de algemene naam (CN) van de host. Het certificaat dat is uitgegeven www.contoso.com , kan bijvoorbeeld worden gebruikt voor de website https://www.contoso.com. |
- Compatibel met alle clients, apparaten en services. - Compartimentalisatie. Het intrekken van het certificaat voor een host heeft geen invloed op andere hosts. |
- Het vereiste aantal certificaten. U kunt alleen het certificaat voor de opgegeven host gebruiken. U kunt bijvoorbeeld het www.contoso.com certificaat niet gebruiken voor ftp.contoso.com, zelfs niet wanneer de services op dezelfde server zijn geïnstalleerd.-Complexiteit. Op een webserver vereist elk certificaat een eigen IP-adresbinding. |
| Alternatieve naam van het certificaatonderwerp (SAN) komt overeen | Naast het veld Onderwerp bevat het veld Alternatieve onderwerpnaam van het certificaat een lijst met meerdere hostnamen. Voorbeeld:www.contoso.comftp.contoso.comftp.eu.fabrikam.net |
- Gemak. U kunt hetzelfde certificaat gebruiken voor meerdere hosts in meerdere afzonderlijke domeinen. - De meeste clients, apparaten en services ondersteunen SAN-certificaten. - Controle en beveiliging. U weet precies welke hosts het SAN-certificaat kunnen gebruiken. |
- Meer planning vereist. U moet de lijst met hosts opgeven wanneer u het certificaat maakt. - Gebrek aan compartimentalisatie. U kunt certificaten voor sommige van de opgegeven hosts niet selectief intrekken zonder dat dit van invloed is op alle hosts in het certificaat. |
| Wildcard-certificaat | Het veld Onderwerp van het certificaat bevat de algemene naam als jokerteken (*) plus één domein of subdomein. Bijvoorbeeld *.contoso.com of *.eu.contoso.com. Het *.contoso.com jokertekencertificaat kan worden gebruikt voor:www.contoso.comftp.contoso.commail.contoso.com |
Flexibiliteit. U hoeft geen lijst met hosts op te geven wanneer u het certificaat aanvraagt en u kunt het certificaat gebruiken op een willekeurig aantal hosts dat u mogelijk in de toekomst nodig hebt. | - U kunt geen jokertekencertificaten gebruiken met andere TLD's (topleveldomeinen). U kunt bijvoorbeeld het *.contoso.com jokertekencertificaat niet gebruiken voor *.contoso.net hosts.- U kunt alleen jokertekencertificaten gebruiken voor hostnamen op het niveau van het jokerteken. U kunt bijvoorbeeld het *.contoso.com certificaat niet gebruiken voor www.eu.contoso.com. U kunt het *.eu.contoso.com certificaat ook niet gebruiken voor www.uk.eu.contoso.com.- Oudere clients, apparaten, toepassingen of services bieden mogelijk geen ondersteuning voor jokertekencertificaten. - Wildcards zijn niet beschikbaar bij EV-certificaten (Extended Validation). - Zorgvuldige auditing en controle zijn vereist. Als het jokertekencertificaat is aangetast, is dit van invloed op elke host in het opgegeven domein. |