По подразбиране, връзката между сървъра на базата данни и клиента не е шифрована, което позволява подслушване на комуникационния канал и четене на данни. Това представлява голям риск за сигурността, дори за не-критични данни.

Връзката може да бъде шифрована чрез използване на VPN връзки между сървъра и клиента, но самият SQL Server има някои механизми за шифроване, които предотвратяват неразрешен достъп. Тук ще бъдат разгледани два метода. Първият е по-прост, докато вторият е по-сложен, но предлага повече контрол върху нивото на сигурност.

Прост метод без сертификат за сигурност

Стартирайте SQL Server Configuration Manager. В SQL Server 2005 Network Configuration, отворете свойствата за Протоколи за SQL2005. Задайте ForceEncryption на Да.

Задайте ForceEncryption на Да

Рестартирайте инстанцията на SQL Server, за да влязат в сила промените.

Сега SQL Server автоматично ще генерира сертификат. Понеже клиентите с използване на операционни системи Windows вече имат необходимите Microsoft ключове инсталирани, техните връзки с тази инстанция на SQL Server ще бъдат шифровани.

Недостатъкът на този метод е, че не можете да конфигурирате режима на шифроване. Освен това, всички връзки с инстанцията на SQL Server са шифровани, което може да не е желателно за локални връзки.

Когато използвате този метод, уверете се, че не стартирате PANTHEON с /SSL превключвател. Това се използва само за втория метод.

Сложен метод с сертификат за сигурност

С този метод, свойството ForceEncryption споменато по-горе трябва да бъде Не.

В таба Сертификат , изберете сертификат, който трябва да получите от Сертификационен орган (CA), например VeriSign. Уточнете FQDN (Пълно квалифицирано име на домейн) на инстанцията на SQL Server, ако клиенти извън локалната мрежа ще се свързват с него. За локална употреба локалното име на инстанцията на SQL Server е достатъчно.

Обърнете внимание, че ако получите сертификат от един от утвърдените сертификационни органи, клиентите най-вероятно вече ще имат съответните ключове инсталирани.

Ако вече имате сертификат, стартирайте PANTHEON с превключвателя /SSL и връзката му със сървъра ще бъде шифрована. Повече информация за превключвателя /SSL можете да намерите в Параметри на командния ред.

Можете да подготвите сертификат и съответстващи ключове сами. За това ви е необходима инсталирана услуга за сертификати, която е част от Windows 2003 Server. В Internet Explorer, отидете на http://Local/CertSrv , което отваря страница за управление на сертификати. В този пример, сертификационният орган се нарича ProdIT, който също е издаващият сертификат.

Щракнете Искане на сертификат.

След това щракнете разширено искане на сертификат.

И накрая Създайте и подайте искане до този CA.

На страницата за разширено искане на сертификат, въведете напълно квалифицираното име на домейн на инстанцията на сървъра, ако искате да бъде достъпно от външната страна на локалната мрежа. В противен случай, локалното име е достатъчно. В Тип на необходимия сертификат, изберете Сертификат за удостоверяване на сървъра. Също така изберете размер на ключа. Уверете се, че избирате Съхранявайте сертификата в локалния компютърен сертификатен магазин. Можете също така да зададете приятелско име за сертификата (MS SQL Сертификат в този пример).

Щракнете Подайте след като сте задали всички опции.

След подаване на искането, отворете Конзолата за управление на Microsoft (MMC), добавете Сертификационен орган snap-in и го активирайте, като изберете Издаване в контекстното меню.

След активиране на сертификата в Конзолата за управление, върнете се в Услуги за сертификати. Щракнете Преглед на статуса на висящо искане за сертификат , за да проверите статуса на сертификата.

Изберете вашия сертификат.

Ако сертификатът е издаден успешно, щракнете Инсталирайте този сертификат.

След като сертификатът е инсталиран, можете да го изберете в SQL Server Configuration Manager.

За да могат клиентите да установят сигурна връзка, те трябва да инсталират ключ за сертификат, който първо трябва да експортирате.

Отворете Конзолата за управление на Microsoft (MMC), добавете Сертификати snap-in, намерете вашия сертификат в Личен папка и го експортирайте от контекстното меню.

Уверете се, че избирате Криптографски Стандарт за синтаксис на съобщения - PKCS #7 сертификати (.P7B) и активирайте опцията Включете всички сертификати в сертификационния път, ако е възможно.

Клиентите след това могат да инсталират експортирания сертификат, или чрез щракване с десния бутон на файла и избиране на Инсталирайте сертификат, или чрез Internet Explorer. В М wizard за импортиране на сертификати, се препоръчва да изберете опцията Автоматично изберете магазина за сертификати на базата на типа на сертификата. Алтернативно, можете да изберете сертификатното хранилище ръчно. Ако го направите, изберете Доверени коренови сертификационни органи.

Ако импортът е успешен, клиентите трябва да видят вашия сертификационен орган (ProdIT в този пример) сред Доверени коренови сертификационни органи.

Клиентите, стартиращи PANTHEON с /SSL превключвател сега трябва да установят шифрована връзка със сървъра.