Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een clientcomputer moet het servercertificaat vertrouwen, zodat de client TLS-versleuteling (Transport Layer Security) kan aanvragen en het certificaat al op de server moet bestaan. Het meest voorkomende scenario voor SQL Server-versleuteling omvat omgevingen die:
- Dwingt versleuteling af voor alle binnenkomende clientverbindingen met SQL Server.
- Gebruik certificaten van een openbare commerciële certificeringsinstantie die windows al vertrouwt. Het bijbehorende basiscertificaat voor de CA wordt geïnstalleerd in het certificaatarchief vertrouwde basiscertificeringsinstanties op alle computers in uw netwerk.
In dit scenario hoeft u geen extra stappen uit te voeren voor geslaagde versleuteling nadat u SQL Server voor versleuteling hebt geconfigureerd volgens de procedure die wordt beschreven in Verbindingen met SQL Server versleutelen door een certificaat te importeren. Dit artikel bevat de procedures voor het versleutelen van verbindingen met SQL Server voor minder gangbare scenario's die niet worden behandeld in Verbindingen met SQL Server versleutelen door een certificaat te importeren.
Notitie
Zie lijst met deelnemers - Microsoft Trusted Root Programvoor een volledige lijst met deelnemers aan het vertrouwde basisprogramma van Microsoft.
Gebruik een certificaat dat is uitgegeven door een openbare commerciële certificeringsinstantie en alleen sommige clients hebben versleutelde verbindingen nodig
Configureer het certificaat op SQL Server volgens de procedure die wordt beschreven in SQL Server configureren voor het gebruik van certificaten.
Geef het encryptietrefwoord op in de eigenschappen van de verbinding als Ja of Waar. Als u bijvoorbeeld de Microsoft ODBC Driver voor SQL Server gebruikt, moet u de verbindingsreeks
Encrypt=yes;opgeven.
Een certificaat gebruiken dat is uitgegeven door een interne CA of is gemaakt met behulp van New-SelfSignedCertificate of makecert
Scenario 1: u wilt alle verbindingen met SQL Server versleutelen
Nadat u beide procedures hebt voltooid die worden beschreven in stap 1: SQL Server configureren voor het gebruik van certificaten en stap 2: Versleutelingsinstellingen configureren in SQL Server in het artikel Verbindingen met SQL Server versleutelen door een certificaat te importeren, gebruikt u een van de volgende opties om uw clienttoepassing te configureren voor versleuteling.
optie 1: clienttoepassingen configureren voor vertrouwensservercertificaat. Deze instelling zorgt ervoor dat de client de stap overslaat die het servercertificaat valideert en doorgaat met het versleutelingsproces. Als u bijvoorbeeld SQL Server Management Studio (SSMS) 20 en nieuwere versies gebruikt, kunt u Trust Server Certificate selecteren op de pagina Login (of op de pagina Options in eerdere versies).
optie 2: Op elke client voegt u de verlenende instantie van het certificaat toe aan het archief met vertrouwde basisinstanties door de volgende stappen uit te voeren:
Exporteer het certificaat van een computer waarop SQL Server wordt uitgevoerd met behulp van de procedure die wordt beschreven in Servercertificaat exporteren.
Importeer het certificaat met behulp van de procedure die wordt beschreven in Certificaten exporteren en importeren.
Scenario 2: Alleen sommige clients hebben versleutelde verbindingen nodig
Nadat u het certificaat voor SQL Server hebt geconfigureerd, zoals beschreven in stap 1 in Verbindingen met SQL Server versleutelen door een certificaat te importeren, gebruikt u een van de volgende opties om uw clienttoepassing te configureren voor versleuteling:
optie 1: configureer clienttoepassingen om het servercertificaat te vertrouwen en geef het encryptie-sleutelwoord op in verbindingseigenschappen met ja of waar. Als u bijvoorbeeld de Microsoft ODBC Driver voor SQL Server gebruikt, moet u de verbindingsreeks Encrypt=Yes;TrustServerCertificate=Yes;opgeven.
Zie TrustServerCertificate gebruikenvoor meer informatie over servercertificaten en versleuteling.
optie 2: voeg op elke client de verlenende instantie van het certificaat toe aan het archief met vertrouwde basisinstanties en geef versleutelingsparameters op voor Ja- in de verbindingsreeks:
Exporteer het certificaat vanaf een computer waarop SQL Server wordt uitgevoerd met behulp van de procedure die wordt beschreven in Het certificaat exporteren vanaf een computer waarop SQL Server wordt uitgevoerd.
Geef het encryptietrefwoord op in de eigenschappen van de verbinding als Ja of Waar. Als u bijvoorbeeld Microsoft OLEDB-driver voor SQL Server gebruikt, moet de verbindingsreeks Gebruik versleuteling voor data = true opgeven;
Het zelfondertekende certificaat gebruiken dat automatisch wordt gemaakt door SQL Server
Scenario 1: u wilt alle binnenkomende verbindingen met SQL Server versleutelen
Versleuteling op SQL Server inschakelen met behulp van de procedure stap 2: Versleutelingsinstellingen configureren in SQL Server die worden beschreven in Verbindingen met SQL Server versleutelen door een certificaat te importeren.
Configureer clienttoepassingen om het servercertificaat te vertrouwen. Als u het servercertificaat vertrouwt, slaat de client de stap over die het servercertificaat valideert en gaat u verder met het versleutelingsproces. Als u bijvoorbeeld SQL Server Management Studio (SSMS) 20 en nieuwere versies gebruikt, kunt u Trust Server Certificate selecteren op de pagina Login (of op de pagina Options in eerdere versies).
Scenario 2: Alleen sommige clients hebben versleutelde verbindingen nodig
Configureer clienttoepassingen om het servercertificaat te vertrouwen en specificeer het versleutelingswoord in verbindingseigenschappen met Ja of True. Als u bijvoorbeeld de Microsoft ODBC Driver voor SQL Server gebruikt, moet u de verbindingsreeks Encrypt=Yes;TrustServerCertificate=Yes;opgeven.
Er is geen extra configuratie vereist op de SQL Server voor dit scenario.
Waarschuwing
TLS/SSL-verbindingen die zijn versleuteld met een zelfondertekend certificaat bieden geen sterke beveiliging, omdat de lengte van de sleutel in de zelfondertekende certificaten korter is dan de sleutel in de certificaten die door de CA worden gegenereerd. Ze zijn vatbaar voor man-in-the-middle-aanvallen. U moet niet vertrouwen op TLS/SSL met behulp van zelfondertekende certificaten in een productieomgeving of op servers die zijn verbonden met internet.