Po zadanim postavkama, veza između poslužitelja baze podataka i klijenta nije šifrirana, što omogućuje presretanje komunikacijskog kanala i čitanje podataka. To predstavlja veliki sigurnosni rizik, čak i za nekritične podatke.
Veza se može šifrirati korištenjem VPN veza između poslužitelja i klijenta, ali SQL Server sam po sebi ima neke mehanizme šifriranja koji sprječavaju neovlašteni pristup. Ovdje će biti obuhvaćene dvije metode. Prva je jednostavnija, dok je druga složenija, ali nudi veću kontrolu nad razinom sigurnosti.
Jednostavna metoda bez sigurnosnog certifikata
Pokrenite SQL Server Configuration Manager. U SQL Server 2005 Network Configuration, otvorite svojstva za Protocols for SQL2005. Postavite ForceEncryption
na Yes.
Postavite ForceEncryption
na Yes
Ponovno pokrenite instancu SQL Servera kako bi promjena stupila na snagu.
Sada će SQL Server automatski generirati certifikat. Budući da klijenti koji koriste Windows operativne sustave već imaju instalirane potrebne Microsoft ključeve, njihove veze s tom instancom SQL Servera bit će šifrirane.
Loša strana ove metode je što ne možete konfigurirati način šifriranja. Nadalje, sve veze s instancom SQL Servera su šifrirane, što možda nije poželjno za lokalne veze.
Kada koristite ovu metodu, provjerite da ne pokrećete PANTHEON s /SSLprekidačem
. Ovo se koristi samo za drugu metodu.
Složena metoda sa sigurnosnim certifikatom Uz ovu metodu, svojstvo ForceEncryption spomenuto gore mora bitiNo
. Na kartici Certificate
, odaberite certifikat koji morate nabaviti od certifikacijske autoritete (CA), na primjer VeriSign. Navedite FQDN (potpuno kvalificirano ime domene) instance SQL Servera ako će se klijenti izvan lokalne mreže povezivati s njom. Za lokalnu upotrebu dovoljno je lokalno ime instance SQL Servera.
Napominjemo da ako dobijete certifikat od jedne od etabliranih certifikacijskih autoriteta, klijenti će najvjerojatnije već imati instalirane relevantne ključeve.
Ako već imate certifikat, pokrenite PANTHEON s prekidačem /SSL i njegova veza s poslužiteljem bit će šifrirana. Više informacija o prekidaču /SSL možete pronaći uCommand Line Parameters
. Možete sami pripremiti certifikat i odgovarajuće ključeve. Za to vam je potrebno instalirati Certificate Services, koji su dio Windows 2003 Servera. U Internet Exploreru, idite na
http://Local/CertSrv
što otvara stranicu za upravljanje certifikatima. U ovom primjeru, certifikacijska autoriteta zove se ProdIT, koja je također izdavatelj certifikata. KlikniteRequest a certificate
. Zatim klikniteadvanced certificate request
. I na krajuCreate and submit request to this CA
. Na stranici Advanced Certificate Request unesite potpuno kvalificirano ime domene instance poslužitelja ako želite da bude dostupna izvan lokalne mreže. Inače, lokalno ime je dovoljno. U vrsti potrebnog certifikata odaberiteServer Authentication Certificate . Također odaberite veličinu ključa. Provjerite da ste odabraliStore certificate in the local computer certificate store. Možete također odrediti prijateljsko ime za certifikat ( MS SQL Certificate
u ovom primjeru). Kliknite Submit
nakon što ste postavili sve opcije. Nakon podnošenja zahtjeva, otvoriteMicrosoft Managment Console (MMC) , dodajte Certification Authority
snap-in i aktivirajte ga odabirom Issue
u kontekstnom izborniku. Nakon aktiviranja certifikata u Management Console, vratite se na Certificate Services. Kliknite
View the status of a pending certificate request
kako biste provjerili status certifikata.
Odaberite svoj certifikat. Ako je certifikat uspješno izdan, klikniteInstall this certfificate
.
Nakon što je certifikat instaliran, možete ga odabrati u SQL Server Configuration Manageru.
Kako bi klijenti mogli uspostaviti sigurnu vezu, moraju instalirati ključ certifikata, koji prvo morate izvesti. Otvorite Microsoft Managment Console (MMC), dodajte
Certificates snap-in, pronađite svoj certifikat u Personal
mapi i izvezite ga iz kontekstnog izbornika. Provjerite da ste odabrali Cryptographic Message Syntax Standard- PKCS #7 Certificates (.P7B) i omogućili opcijuInclude all certificates in the certification path if possible
. Klijenti zatim mogu instalirati izvezeni certifikat, bilo desnim klikom na datoteku i odabiromInstall Certificate , ili putem Internet Explorera. U čarobnjaku za uvoz certifikata preporučuje se odabrati opcijuAutomatically select the certificate store based in the type of certificate . Alternativno, možete ručno odabrati pohranu certifikata. Ako to učinite, odaberiteTrusted Root Certification Authorities
.
Ako je uvoz uspješan, klijenti bi trebali vidjeti vašu certifikacijsku autoritetu (ProdIT u ovom primjeru) među Trusted Root Certification Authorities. Klijenti koji pokreću PANTHEON s prekidačem /SSL
prekidačem