Енкрипција на SQL Server конекции

Врската помеѓу податочниот сервер и клиентот не е предефинирано енкриптирана, што дава можност за упад во комуникацискиот канал и читање на податоците. Ова е голем сигурносен ризик дури и за некритични податоци.

Врската може да биде енкриптирана со примена на VPN врска помеѓу серверот и клиентот, но самиот SQL сервер има свои механизми за енкрипција кои оневоможуваат неавторизиран пристап.  Две методи се прикажани овде. Првата е едноставна, додека втората е покомплексна, но дава повеќе контрола над нивото на заштита.

Едноставен метод без сигурносен сертификат

Се отвора SQL Server Configuration Manager. Се отвора Properties за соодветната инстанца како на силата подолу. 

Се избира ForceEncryption со Yes

Со рестарт на SQL Server инстанцата се применуваат поставките.

Сега SQL Server автоматски ќе генерира сертификат. Бидејќи клиентите користат Windows оперативни системи кои веќе имаат инсталирано соодветни Microsoft клучеви, нивната врска со таа SQL Server инстанца ќе биде енкриптирана.

Негативна страна на оваа метода е што не може да се конфигурира методата за енкрипција. Понатаму, сите врски со серверот се енкриптирани што можеби не е пожелно за локални врски.

Кога се користи оваа метода треба да се води сметка да не се стартува PANTHEON со  /SSL кратенка. Ова се користи само со втората метода.

Комплексен метод со сигурносен сертификат

Со оваа метода особината ForceEncryption треба да биде поставена на No.

Во табот Certificate се одбира сертификат кој е добиен од Certificate Authority (CA), пример VeriSign. Се дефинира FQDN (Fully qualified domain name) на SQL Server инстанцата доколку клиентите се надвор од локалната мрежа. Доколку се локално, доволно е локалното име  SQL Server инстанцата.

Треба да се има предвид дека ако се добие сертификат од познат авторитет, клиентите најверојатно веќе ќе ги имаат инсталирано релевантните клучеви.

Доколку го имате сертификатот се стартува PANTHEON со кратенката /SSL и со тоа врската до серверот е биде енкриптирана. Повеќе информации за кратенката /SSL може да се најдат на Параметри на командна линија

Сертификат со соодветни клучеви може и сами да креирате. За тоа е потребно да се инсталира Certificate Services, кој е дел од Windows Server. Во Internet Explorer отворете http://Local/CertSrv кој ја дава страницата за управување со сертификати. Во овој пример, авторитетот за сертификат е наречен ProdIT, кој исто така го издава сертификатот.

Кликнете Request a certificate.

Следно кликнете advanced certificate request.

И на крај Create and submit request to this CA.

На страната Advanced Certificate Request се внесува fully qualified domain name на серверската инстанца, доколку сакате да биде достапна надвор од локалната мрежа, инаку доволно е локалното име. Во Type of Certificate Needed, се избира Server Authentication Certificate како и големина на клучот. Потребно е исто така да се избере Store certificate in the local computer certificate store. Може да дефинирате сами име на сертификатот (во овој пример MS SQL Certificate).

На крај се кликнува на Submit.

Откако е пратено барањето се отвора Microsoft Managment Console (MMC), се додава Certification Authority snap-in и се активира со избор на Issue на контекстното мени.

После активирање на сертификатот во Management Console, се враќате на Certificate Services. Се кликнува на View the status of a pending certificate request за да се провери статусот.

Се избира сертификатот.

Доколку сертификатот е успешно издаден се кликнува на Install this certfificate.

Откако сертификатот е успешно инсталиран, се избира во SQL Server Configuration Manager.

За да можат клиентите да воспостават заштитена врска, тие треба да го инсталираат клучот на сертификатот кој најпрво се извезува.

На Microsoft Managment Console (MMC), се додава Certificates, се наоѓа сертификатот во фолдерот Personal и се извезува од контекстното мени..

Треба да се избере Cryptographic Message Syntax Standard- PKCS #7 Certificates (.P7B) и да се овозможи опцијата Include all certificates in the certification path if possible.

После тоа клиентите може да го инсталираат извезениот сертификат, или со десен клик на фајлот и избор Install Certificate, или преку Internet Explorer. Во Certificate Import Wizard се препорачува да се избере опцијата Automatically select the certificate store based in the type of certificate. Може да се избере и рачно со опцијата Trusted Root Certification Authorities.

Доколку вчитувањето е успешно клиентите ќе може да го видат авторитеот за сертификати (во овој случај ProdIT) во Trusted Root Certification Authorities.

Клиентите кои го стартуваат PANTHEON со /SSL кратенка сега ќе можат да воспостават енкриптирана врска со серверот.