Verbinding maken met SQL Server met strikte versleuteling

2025-08-21

Van toepassing op: SQL Server 2022 (16.x)

Strikte verbindingsversleuteling dwingt goede beveiligingsprocedures af en maakt SQL Server-verkeer beheerbaar door standaardnetwerkapparaten.

In dit artikel leert u hoe u verbinding maakt met SQL Server 2022 (16.x) en latere versies met behulp van het strikte verbindingstype.

Voorwaarde

SQL Server 2022 (16.x) of hoger
ODBC- of OLE DB-stuurprogramma voor SQL Server
- ODBC-stuurprogramma voor SQL Server versie 18.1.2.1 of hoger
- OLE DB-stuurprogramma voor SQL Server versie 19.2.0 of hoger
Een TLS-certificaat maken en installeren in SQL Server. Zie Versleutelde verbindingen met de database-engine inschakelen voor meer informatie

Verbinding maken met SQL Server met behulp van een .NET-toepassing

Zie strict voor het maken en verbinden met SQL Server met behulp van het versleutelingstype. Zie Aanvullende wijzigingen in versleutelingseigenschappen voor verbindingsreeksen voor meer informatie over de nieuwe eigenschappen van de verbindingsreeks.

Verbinding maken met behulp van een ODBC-DSN

U kunt een verbinding met het Strict verbindingsversleutelingstype testen met behulp van een ODBC-DSN naar SQL Server.

Zoek naar de ODBC-gegevensbronnen-app in Windows.
Zorg ervoor dat u het nieuwste ODBC-stuurprogramma hebt door te kijken op het tabblad Stuurprogramma's van ODBC-gegevensbronbeheerder.
Selecteer Op het tabblad Systeem-DSNde optie Toevoegen om een DSN te maken. Selecteer vervolgens het ODBC-stuurprogramma 18 voor SQL Server. Klik op Voltooien. We gaan dit gebruiken om onze verbinding te testen.
Geef in het venster Een nieuwe gegevensbron maken naar SQL Server een naam op voor deze gegevensbron en voeg de servernaam van SQL Server 2022 (16.x) toe aan Server. Kies Volgende.
Gebruik alle standaardwaarden voor alle instellingen totdat u bij het scherm met Verbindingsversleuteling komt. Selecteer Strikt. Als de servernaam die u hebt ingevoerd verschilt van die in het certificaat of als het IP-adres wordt gebruikt, stelt u HostName in het certificaat in op de naam die in uw certificaat wordt gebruikt. Klik op Voltooien.
Wanneer het dialoogvenster ODBC Microsoft SQL Server Setup wordt weergegeven, selecteert u de knop Testgegevensbron... om de verbinding te testen. Hiermee moet de strict verbinding met SQL Server worden afgedwongen voor deze test.

Verbinding maken met behulp van Universal Data Link

U kunt de verbinding met SQL Server ook testen met strict versleuteling met behulp van het OLE DB-stuurprogramma met UDL (Universal Data Link).

Als u een UDL-bestand wilt maken om de verbinding te testen, klikt u met de rechtermuisknop op het bureaublad en selecteert u Nieuw>tekstdocument. U moet de extensie wijzigen van txt in udl. U kunt het bestand elke gewenste naam geven.

Opmerking

U moet de extensienaam kunnen zien om de extensie te wijzigen van txt in udl. Als u de extensie niet kunt zien, kunt u de extensie inschakelen door de> weergeven in Verkenner>> weer te geven.
Open het UDL-bestand dat u hebt gemaakt en ga naar het tabblad Provider om het Microsoft OLE DB-stuurprogramma 19 voor SQL Server te selecteren. Selecteer Volgende >>.
Voer op het tabblad Verbinding de naam van uw SQL Server-server in en selecteer de verificatiemethode die u gebruikt voor het aanmelden bij SQL Server.
Selecteer Strikt voor verbindingsversleuteling op het tabblad Geavanceerd. Als de servernaam die u hebt ingevoerd verschilt van die in het certificaat of als het IP-adres wordt gebruikt, stelt u hostnaam in het certificaat in op de naam die in uw certificaat wordt gebruikt. Ga terug naar het tabblad Verbinding wanneer u klaar bent.
Selecteer Verbinding testen om de verbinding met de strict verbindingsversleuteling te testen.

Verbinding maken met SSMS

Vanaf versie 20 kunt u strikte versleuteling afdwingen in SQL Server Management Studio (SSMS) op het tabblad Aanmeldingen van het dialoogvenster Verbinding maken met server :

Schermopname van het dialoogvenster Verbinding maken met server in SQL Server Management Studio.

Verbinding maken met een AlwaysOn-beschikbaarheidsgroep

Vanaf SQL Server 2025 (17.x) Preview kunt u de communicatie tussen het Windows Server-failovercluster en een AlwaysOn-replica van de beschikbaarheidsgroep versleutelen met behulp van het Strict of Mandatory verbindingsversleutelingstype. Uw beschikbaarheidsgroep kan versleuteling alleen afdwingen als deze is gebaseerd op een Windows Server-failovercluster. Andere typen beschikbaarheidsgroepen bieden geen ondersteuning voor strikte versleuteling.

De stappen verschillen, afhankelijk van of uw beschikbaarheid al bestaat.

Nieuwe beschikbaarheidsgroep
Bestaande beschikbaarheidsgroep

Volg deze stappen om strikte versleuteling af te dwingen voor een nieuwe beschikbaarheidsgroep:

Als u dat nog niet hebt gedaan, importeert u het TLS-certificaat naar elke replica van de beschikbaarheidsgroep, zoals gedefinieerd door de certificaatvereisten. Start elk SQL Server-exemplaar opnieuw op na het importeren van het certificaat.
Test verbindingen met elke SQL Server-replica met behulp van een van de methoden die in dit artikel worden genoemd, waarmee versleuteling wordt afgedwongen.
MAAK BESCHIKBAARHEIDSGROEP met de Encrypt eigenschap ingesteld Strict op in de CLUSTER_CONNECTION_OPTIONS component voor de beschikbaarheidsgroep. Dit zorgt ervoor dat alle verbindingen met de beschikbaarheidsgroep gebruikmaken van het opgegeven versleutelingstype.
Als de beschikbaarheidsgroep momenteel online is, voert u een failover uit van de beschikbaarheidsgroep naar een secundaire replica om de nieuwe versleutelingsinstellingen toe te passen op de beschikbaarheidsgroep. Als de beschikbaarheidsgroep niet online komt, is ClusterConnectionOptions de beschikbaarheidsgroep mogelijk niet correct ingesteld. Controleer de cluster.log op ODBC-fouten met betrekking tot het cluster dat geen verbinding kan maken met de SQL Server-replica. Desgewenst kunt u de beschikbaarheidsgroep terugzetten naar de oorspronkelijke primaire replica nadat de nieuwe secundaire replica online is en is verbonden met de beschikbaarheidsgroep.
(Optioneel) U kunt versleuteling verder afdwingen door de optie Yes afdwingen in te stellen in SQL Server Configuration Manager-eigenschappen voor het verbindingsprotocol voor elke replica. Deze instelling zorgt ervoor dat alle verbindingen met de replica's van de beschikbaarheidsgroep strikte versleuteling gebruiken. Start elke SQL Server-replica opnieuw op nadat u deze instelling hebt gewijzigd.

Voordat u begint met het configureren van uw bestaande beschikbaarheidsgroep voor strikte versleuteling, volgt u de stappen in rolling upgrades tijdens een onderhoudsvenster om downtime te minimaliseren en gegevensverlies te voorkomen.

Volg deze stappen tijdens een onderhoudsvenster om uw bestaande beschikbaarheidsgroep te configureren voor strikte versleuteling:

Als u dat nog niet hebt gedaan, importeert u het TLS-certificaat naar elke secundaire replica van de beschikbaarheidsgroep, zoals gedefinieerd door de certificaatvereisten. Start elke secundaire SQL Server-replica opnieuw nadat het certificaat is geïmporteerd.
Test verbindingen met elke SQL Server-replica met behulp van een van de methoden die in dit artikel worden genoemd, waarmee versleuteling wordt afgedwongen.
Failover van de beschikbaarheidsgroep naar een van de secundaire replica's waarmee u zojuist verbinding hebt gemaakt. Hierdoor wordt deze de nieuwe primaire replica.
Importeer het TLS-certificaat naar de nieuwe secundaire replica die de primaire replica was. Start het SQL Server-exemplaar opnieuw op nadat u het certificaat hebt geïmporteerd.
Werk verbindingsreeksen voor clienttoepassingen bij om verbinding te maken met de beschikbaarheidsgroep met afgedwongen versleuteling.
ALTER AVAILABILITY GROUP with the CLUSTER_CONNECTION_OPTIONS component to set the Encrypt property to Mandatory or Strict. Dit zorgt ervoor dat alle verbindingen met de beschikbaarheidsgroep gebruikmaken van het opgegeven versleutelingstype.
Als de beschikbaarheidsgroep momenteel online is, voert u een failover uit van de beschikbaarheidsgroep naar een secundaire replica om de nieuwe versleutelingsinstellingen toe te passen op de beschikbaarheidsgroep. Als de beschikbaarheidsgroep niet online komt, is ClusterConnectionOptions de beschikbaarheidsgroep mogelijk niet correct ingesteld. Controleer de cluster.log op ODBC-fouten met betrekking tot het cluster dat geen verbinding kan maken met de SQL Server-replica. Desgewenst kunt u de beschikbaarheidsgroep terugzetten naar de oorspronkelijke primaire replica nadat de nieuwe secundaire replica online is en is verbonden met de beschikbaarheidsgroep.
(Optioneel) U kunt versleuteling verder afdwingen door de optie Yes afdwingen in te stellen in SQL Server Configuration Manager-eigenschappen voor het verbindingsprotocol voor elke replica. Deze instelling zorgt ervoor dat alle verbindingen met de replica's van de beschikbaarheidsgroep strikte versleuteling gebruiken. Start elke SQL Server-replica opnieuw op nadat u deze instelling hebt gewijzigd.

Verbinding maken met een exemplaar van een failovercluster

Vanaf SQL Server 2025 (17.x) Preview kunt u de communicatie tussen uw Windows Server-failovercluster en een AlwaysOn-failoverclusterexemplaren versleutelen met behulp van het Strict of Mandatory verbindingsversleutelingstype. Volg hiervoor deze stappen:

Als u dat nog niet hebt gedaan, importeert u het TLS-certificaat naar elk knooppunt van het failovercluster, zoals gedefinieerd door de certificaatvereisten. Start het SQL Server-exemplaar opnieuw op nadat u het certificaat hebt geïmporteerd.
Test verbindingen met het exemplaar van het failovercluster met behulp van een van de methoden die in dit artikel worden genoemd, waarmee versleuteling wordt afgedwongen.
ALTER SERVER CONFIGURATION with the CLUSTER_CONNECTION_OPTIONS component to set the Encrypt property to Mandatory or Strict. Dit zorgt ervoor dat alle verbindingen met het failoverclusterexemplaren gebruikmaken van het opgegeven versleutelingstype.
Voer een failover van het exemplaar uit naar een secundair knooppunt om de nieuwe versleutelingsinstellingen toe te passen op het failoverclusterexemplaren. Als het failoverclusterexemplaren niet online komen, kan het zijn dat het ClusterConnectionOptions niet juist is ingesteld. Controleer de cluster.log op ODBC-fouten met betrekking tot het cluster dat geen verbinding kan maken met het SQL Server-exemplaar. U kunt eventueel een failback uitvoeren van het exemplaar naar het oorspronkelijke primaire knooppunt nadat het nieuwe secundaire knooppunt online is en verbinding heeft gemaakt met het failoverclusterexemplaren.
(Optioneel) U kunt versleuteling verder afdwingen door de optie Yes af te dwingen in sql Server Configuration Manager-eigenschappen voor het verbindingsprotocol voor elk knooppunt in het cluster. Deze instelling zorgt ervoor dat alle verbindingen met het failoverclusterexemplaren strikte versleuteling gebruiken. Breng deze wijziging aan op het secundaire knooppunt, voer een failover van het exemplaar uit en breng vervolgens de wijziging aan op het primaire knooppunt.

Strikte versleuteling afdwingen met SQL Server Configuration Manager

U kunt strikte versleuteling afdwingen met behulp van SQL Server Configuration Manager vanaf SQL Server 2022 (16.x). Voer hiervoor de volgende stappen uit:

Open SQL Server Configuration Manager.
Vouw in het linkerdeelvenster SQL Server-netwerkconfiguratie uit en selecteer Protocollen voor [InstanceName].
Klik met de rechtermuisknop op TCP/IP en selecteer Eigenschappen.
Ga in het dialoogvenster TCP/IP-eigenschappen naar het tabblad Vlaggen en selecteer Vervolgens Ja voor de optie Strikte versleuteling afdwingen :
Start het SQL Server-exemplaar opnieuw op tijdens een onderhoudsvenster om de wijzigingen toe te passen.

Opmerkingen

Als u ziet SSL certificate validation failed, valideert u het volgende:

Servercertificaat is geldig op de computer die u gebruikt om te testen
Ten minste één van de volgende is waar:
- Provider SQL Server komt overeen met de CA-naam of een van de DNS-namen in het certificaat.
- HostNameInCertificate de eigenschap verbindingsreeks komt overeen met de CA-naam of een van de DNS-namen in het certificaat.

Feedback

Is deze pagina nuttig?