Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver information om protokollet TLS (Transport Layer Security) och digitala certifikat.
Transportskiktsäkerhet (TLS)
TLS- och SSL-protokollen finns mellan programprotokolllagret och TCP/IP-lagret, där de kan skydda och skicka programdata till transportskiktet. TLS/SSL-protokoll använder algoritmer från en chiffersvit för att skapa nycklar och kryptera information. Klienten och servern förhandlar om den protokollversion och chiffersvit som ska användas för kryptering under den inledande anslutningsfasen (förinloggning) för anslutningsetableringen. Den högsta TLS-versionen som stöds föredras alltid i TLS-handskakningen. Information om vilka TLS-protokollversioner som stöds av olika versioner av Windows-operativsystem finns i Protokoll i TLS/SSL (Schannel SSP). Flera kända sårbarheter har rapporterats mot SSL och tidigare versioner av TLS. Vi rekommenderar att du uppgraderar till TLS 1.2 för säker kommunikation.
SQL Server kan använda TLS för att kryptera data som överförs över ett nätverk mellan en instans av SQL Server och ett klientprogram. TLS använder ett certifikat för att implementera kryptering.
Om du aktiverar TLS-kryptering ökar säkerheten för data som överförs mellan nätverk mellan instanser av SQL Server och program. Men när all trafik mellan SQL Server och ett klientprogram krypteras med hjälp av TLS krävs följande extra bearbetning:
- En extra nätverksrundtur krävs vid anslutningstid.
- Paket som skickas från programmet till instansen av SQL Server måste krypteras av klientens TLS-stack och dekrypteras av serverns TLS-stack.
- Paket som skickas från SQL Server-instansen till programmet måste krypteras av serverns TLS-stack och dekrypteras av klientens TLS-stack.
Viktigt!
Från och med SQL Server 2016 (13.x) har SSL (Secure Sockets Layer) upphört. Använd TLS (TLS 1.2 rekommenderas) i stället. Mer information finns i TLS 1.2-stöd för Microsoft SQL Server. SQL Server 2022 introducerar stöd för TLS 1.3. Mer information finns i TLS 1.3-stöd. Om det inte finns några matchande protokoll mellan klienten och värddatorn kan du stöta på felet som beskrivs i En befintlig anslutning stängdes av fjärrvärden.
Översikt över digitalt certifikat
Digitala certifikat är elektroniska filer som fungerar som ett onlinelösenord för att verifiera identiteten för en användare eller en dator. De används för att skapa den krypterade kanal som används för klientkommunikation. Ett certifikat är en digital instruktion som utfärdas av en certifikatutfärdare (CA) som går i god för certifikatinnehavarens identitet och gör det möjligt för parterna att kommunicera säkert med hjälp av kryptering.
Digitala certifikat tillhandahåller följande tjänster:
- Kryptering: De hjälper till att skydda data som utbyts från stöld eller manipulering.
- Autentisering: De kontrollerar att deras innehavare (personer, webbplatser och till och med nätverksenheter som routrar) verkligen är vem eller vad de påstår sig vara. Vanligtvis är autentiseringen enkelriktad, där källan verifierar målets identitet, men ömsesidig TLS-autentisering är också möjlig.
Ett certifikat innehåller en offentlig nyckel och kopplar den offentliga nyckeln till identiteten för en person, dator eller tjänst som innehåller motsvarande privata nyckel. De offentliga och privata nycklarna används av klienten och servern för att kryptera data innan de överförs. För Windows-användare, datorer och tjänster upprättas förtroende för certifikatutfärdare när rotcertifikatet definieras i det betrodda rotcertifikatarkivet och certifikatet innehåller en giltig certifieringssökväg. Ett certifikat anses vara giltigt om det inte har återkallats (det finns inte i certifikatutfärdarlistan eller LISTAN över återkallade certifikat) eller har upphört att gälla.
De tre primära typerna av digitala certifikat beskrivs i följande tabell:
| Typ | Beskrivning | Fördelar | Nackdelar |
|---|---|---|---|
| Självsignerat certifikat | Certifikatet signeras av programmet som skapade det eller skapas med hjälp av New-SelfSignedCertificate. | Kostnad (kostnadsfritt) | – Certifikatet är inte automatiskt betrodd av klientdatorer och mobila enheter. Certifikatet måste läggas till manuellt i det betrodda rotcertifikatarkivet på alla klientdatorer och enheter, men alla mobila enheter tillåter inte ändringar i det betrodda rotcertifikatarkivet. – Alla tjänster fungerar inte med självsignerade certifikat. – Svårt att upprätta en infrastruktur för livscykelhantering av certifikat. Självsignerade certifikat kan till exempel inte återkallas. |
| Certifikat utfärdat av en intern certifikatutfärdare | Certifikatet utfärdas av en offentlig nyckelinfrastruktur (PKI) i din organisation. Ett exempel är Active Directory Certificate Services (AD CS). Mer information finns i Översikt över Active Directory Certificate Services. | – Gör att organisationer kan utfärda sina egna certifikat. – Billigare än certifikat från en kommersiell certifikatutfärdare. |
– Ökad komplexitet för att distribuera och underhålla PKI: et. – Certifikatet är inte automatiskt betrodd av klientdatorer och mobila enheter. Certifikatet måste läggas till manuellt i det betrodda rotcertifikatarkivet på alla klientdatorer och enheter, men alla mobila enheter tillåter inte ändringar i det betrodda rotcertifikatarkivet. |
| Certifikat utfärdat av en kommersiell certifikatutfärdare | Certifikatet köps från en betrodd kommersiell certifikatutfärdare. | Certifikatdistributionen förenklas eftersom alla klienter, enheter och servrar automatiskt litar på certifikaten. | Kostnad. Du måste planera i förväg för att minimera antalet certifikat som krävs. |
För att bevisa att en certifikatinnehavare är den som de påstår sig vara måste certifikatet korrekt identifiera certifikatinnehavaren för andra klienter, enheter eller servrar. De tre grundläggande metoderna för att göra detta beskrivs i följande tabell:
| Metod | Beskrivning | Fördelar | Nackdelar |
|---|---|---|---|
| Certifikatämnesmatchning | Certifikatets Subject-fält innehåller värdens vanliga namn (CN). Till exempel kan certifikatet som utfärdas till www.contoso.com användas för webbplatsen https://www.contoso.com. |
– Kompatibel med alla klienter, enheter och tjänster. - Avgränsning. Om du återkallar certifikatet för en värd påverkas inte andra värdar. |
– Antal certifikat som krävs. Du kan bara använda certifikatet för den angivna värden. Du kan till exempel inte använda certifikatet www.contoso.com för ftp.contoso.com, även när tjänsterna är installerade på samma server.-Komplexitet. På en webbserver kräver varje certifikat en egen IP-adressbindning. |
| San-matchning (alternativt namn på certifikatmottagare) | Förutom fältet Ämne innehåller certifikatets alternativa namn för certifikatmottagare en lista med flera värdnamn. Till exempel:www.contoso.comftp.contoso.comftp.eu.fabrikam.net |
-Bekvämlighet. Du kan använda samma certifikat för flera värdar i flera separata domäner. – De flesta klienter, enheter och tjänster stöder SAN-certifikat. - Granskning och säkerhet. Du vet exakt vilka värdar som kan använda SAN-certifikatet. |
- Mer planering krävs. Du måste ange listan över värdar när du skapar certifikatet. - Brist på fackindelning. Du kan inte selektivt återkalla certifikat för vissa av de angivna värdarna utan att påverka alla värdar i certifikatet. |
| Matchning av jokercertifikat | Certifikatets ämnesfält innehåller det gemensamma namnet som jokertecken (*) plus en enda domän eller underdomän. Till exempel *.contoso.com eller *.eu.contoso.com. Jokerteckencertifikatet *.contoso.com kan användas för:www.contoso.comftp.contoso.commail.contoso.com |
Flexibilitet. Du behöver inte ange en lista över värdar när du begär certifikatet och du kan använda certifikatet på valfritt antal värdar som du kan behöva i framtiden. | – Du kan inte använda jokerteckencertifikat med andra toppnivådomäner (TLD). Du kan till exempel inte använda jokerteckencertifikatet *.contoso.com för *.contoso.net värdar.– Du kan bara använda jokerteckencertifikat för värdnamn på jokertecknets nivå. Du kan till exempel inte använda certifikatet *.contoso.com för www.eu.contoso.com. Eller så kan du inte använda certifikatet *.eu.contoso.com för www.uk.eu.contoso.com.– Äldre klienter, enheter, program eller tjänster kanske inte stöder wildcard-certifikat. – Jokertecken är inte tillgängliga med certifikat för utökad validering (EV). - Noggrann granskning och kontroll krävs. Om wildcard-certifikatet komprometteras påverkar det varje värd i den angivna domänen. |