前言
很多客户在对数据库做安全审计时要求配置连接加密,本文就如何配置加密以及使用证书做一个系统的整理。
连接加密
首先,连接加密不是透明数据加密,很多人经常把两个概念混淆。连接加密是指客户端程序和SQL Server通信时的加密,保护数据在传输过程中的安全。
连接加密是SQL Server的TDS协议和TLS协议结合完成的,是在客户端驱动程序(ADO.NET、JDBC、OLEDB等)和SQL Server服务端实现的,对于上层的应用程序是透明的。
服务器端配置
打开SQL Server配置管理器,在SQL Server网络配置节点下,选择要启用加密连接的实例,右键,选择“属性”,在弹出的窗口中配置强行加密。确定后,重启SQL Server服务。
通过视图sys.dm_exec_connections的encrypt_option属性可以看到所有的连接都已经加密了。
说明:如果是SQL Server故障转移群集或者AlwaysOn,每个节点都需要配置。
客户端配置
在服务器端启动强制加密是最简单的方法,如果前端应用程序使用非常老的数据库驱动程序,不支持TLS协议,无法正常连接数据库,例如低版本的PB、DELPHI等。另外,基于网络抓包分析的审计软件也无法工作。在这种情况下,可以在客户端进行有选择性地配置。
通过在数据库连接字符串中增加Encrypt和TrustServerCertificate两个关键词来实现。
ADO.NET
JDBC
SQL Server Management Studio
老版本SQL Server Management Studio
配置证书
无论是在服务端还是客户端配置连接加密,都需要使用证书。默认情况下,SQL Server会生成自签名证书,在ERROR_LOG中可以看到一条“已成功加载自行生成的证书以进行加密”的日志。
大多数情况下,使用自签名证书就足够了。如果想使用CA机构颁发的第三方证书,可按照以下步骤配置。
运行mmc打开控制台,添加证书管理。
在“个人”节点下按照向导导入证书。
注意:导入证书的使用者属性必须与服务器的完全限定域名 (FQDN) 一致。如果是SQL Server故障转移群集,要和虚拟服务器的FQDN一致。
为SQL Server启动账号配置权限。在SQL Server配置管理器中查看启动账号。
在SQL Server配置管理器中,选择证书并重启SQL Server服务。注意:SQL Server 配置管理器中只能显示与服务器FQDN一致的证书,所以显示不出为SQL Server故障转移群集虚拟服务器名称创建的证书。需要通过修改注册表的方式配置,具体步骤见“SQL Server故障转移群集下配置证书”。
通过ERROR_LOG可以看到SQL Server使用的证书。
SQL Server故障转移群集下配置证书
首先按照上面的步骤在所有节点导入证书,然后复制出证书的指纹。
在所有的节点中打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Microsoft SQL Server\MSSQL.1\MSSQLServer\SuperSocketNetLib\Certificate项(注意替换成实际的版本和实例名),填写复制的指纹数据,在填写时去掉数据中的空格。
最后,依次切换每个节点,验证SQL Server服务能否正常启动,并验证前端应用是否能正常连接。
