若要为给定服务器实例上的数据库镜像启用证书身份验证,系统管理员必须将每个服务器实例配置为在出站连接和入站连接上使用证书。 必须先配置出站连接。
注释
服务器实例上的所有镜像连接都使用单一数据库镜像终结点,必须在创建终结点时指定服务器实例的身份验证方法。 因此,对于数据库镜像,每个服务器实例只能使用一种身份验证形式。
配置出站连接
在为数据库镜像配置的每个服务器实例上执行以下步骤:
在 master 数据库中,创建数据库主密钥。
在 master 数据库中,在服务器实例上创建加密证书。
使用服务器实例的证书创建终结点。
将证书备份到文件,并安全地将其复制到其他系统或系统。
如果存在,则必须为每个合作伙伴和见证服务器完成这些步骤。
有关详细信息,请参阅 “允许数据库镜像终结点使用证书进行出站连接(Transact-SQL)”。
配置入站连接
接下来,针对要为数据库镜像配置的每个合作伙伴执行以下步骤。 在 master 数据库中:
为其他系统创建登录名。
为该登录名创建用户。
获取其他服务器实例的镜像终结点的证书。
将证书与在步骤 2 中创建的用户相关联。
对该镜像终结点的登录授予 CONNECT 权限。
如果有见证,则还必须为其设置入站连接。 这需要为两个合作伙伴的见证服务器设置登录名、用户和证书,反之亦然。
有关详细信息,请参阅 “允许数据库镜像终结点使用证书进行入站连接(Transact-SQL)”。
安全
除非可以保证网络安全,否则建议对数据库镜像连接使用加密。 有关详细信息,请参阅数据库镜像终结点 (SQL Server)。
将证书复制到另一个系统时,请使用安全复制方法。 请非常小心,确保所有证书的安全。
另请参阅
创建数据库主密钥
CREATE MASTER KEY (Transact-SQL)
数据库镜像和 AlwaysOn 可用性组的传输安全性(SQL Server)
SQL Server 数据库引擎和 Azure SQL 数据库安全中心
数据库镜像端点 (SQL Server)