Pengantar
Tahun lalu kami mendapat persyaratan untuk memastikan koneksi terenkripsi ke instance SQL Server kami. Sebelumnya, menurut kami tidak perlu – semua instans kami diakses oleh layanan aplikasi secara internal. Namun, koneksi aman melindungi instance dan klien dari serangan sebagai perantara, jadi kami melakukannya.
Enkripsi koneksi berbeda dari Enkripsi Data Transparan, tetapi Anda memerlukan sertifikat dalam kedua kasus tersebut. Dalam artikel ini, kami menjelaskan prosedur menyiapkan koneksi terenkripsi untuk instance SQL Server.
Menyiapkan Snap-in Sertifikat di MMC
Sertifikat adalah dokumen yang ditandatangani secara digital yang berisi kunci publik dan pribadi yang mengenkripsi koneksi. Kunci publik dan pribadi adalah “Pasangan Kunci” – kunci publik mengenkripsi data, dan hanya kunci pribadi yang dapat mendekripsinya.
Sertifikat dikeluarkan oleh Otoritas Sertifikat, entitas yang dipercaya oleh server dan klien. Dalam kasus kami, kami membuat sertifikat dari server yang menghosting SQL Server.
Kami memulai proses ini dengan meluncurkan Microsoft Management Console (mmc.exe) .
Saat MMC diluncurkan, kami menavigasi ke File> Tambah dan Hapus Snap-in … (Gambar 1). Di sini, kami menambahkan snap-in Manajer Sertifikat ke konsol kami untuk mengelola sertifikat di server. Perhatikan bahwa ada cara lain untuk mencapai titik ini.
Kami ingin mengelola sertifikat dari akun komputer kami sedemikian rupa sehingga administrator lain tidak akan memiliki masalah dengan izin ketika mereka juga perlu mengelola sertifikat (Gambar 2).
Dalam artikel ini, kita berurusan dengan mengelola sertifikat di komputer lokal tempat instance SQL Server kita diinstal (Gambar 3).
Setelah kami menyelesaikan proses pembuatan snap-in Sertifikat, kami dapat menggunakannya.
Mulailah dengan memilih Semua Tugas> Minta Sertifikat Baru :
Mendaftarkan Sertifikat MMC
Tindakan dari Gambar 5 meluncurkan wizard – kami akan menjalankannya dengan cepat. Detailnya lebih relevan untuk Administrator Windows, tetapi yang terpenting adalah mendapatkan sertifikat valid yang dapat digunakan SQL Server.
Verifikasi kondisi yang diperlukan:
Pilih kebijakan pendaftaran dan jenis sertifikat yang Anda inginkan. Dalam kasus kami, kami memilih kebijakan yang dikonfigurasi oleh Administrator Domain kami untuk tujuan seperti ini. Anda dapat berbicara dengan Administrator Domain untuk menentukan opsi terbaik di lingkungan Anda.
Pendaftaran sertifikat adalah proses meminta sertifikat digital dari Otoritas Sertifikat. Di beberapa lingkungan, CA adalah bagian dari Infrastruktur Kunci Publik.
Mengonfigurasi SQL Server
Sekarang ketika kita memiliki sertifikat, kita pergi ke SQL Server dan mengkonfigurasinya untuk menggunakan sertifikat itu.
- Buka Manajer Konfigurasi SQL Server dan navigasikan Konfigurasi Jaringan SQL Server> Protokol untuk MS SQL Server .
- Klik kanan item ini dan pilih Properti dari menu tarik-turun (Gambar 11):
- Di Properti jendela, pilih Sertifikat tab. Jika Anda telah melakukan pendaftaran sertifikat dengan benar, Anda akan melihatnya terdaftar di menu tarik-turun berlabel Sertifikat (Gambar 12). Dengan melakukan ini, kami mengaitkan sertifikat ini dengan contoh SQL Server. Perhatikan bahwa kami juga dapat melihat detail sertifikat di SQL Server Configuration Manager.
- Setelah kami selesai menerapkan sertifikat yang valid, kami pergi ke Bendera tab dan atur Enkripsi Paksa tandai ke YA . Ini memastikan bahwa semua koneksi ke SQL Server dienkripsi.
Protokol kriptografi yang digunakan SQL Server untuk enkripsi koneksi akan bergantung pada konfigurasi sistem operasi. Kemudian, Anda harus me-restart contoh SQL Server. Ini memuat sertifikat baru ini setelahnya.
Kita dapat melihat data di Windows Event Viewer – log kesalahan SQL Server. Kami juga dapat memverifikasi enkripsi koneksi dengan alat seperti Monitor Jaringan dari Sys Internals (Gambar 14).
Kesimpulan
Koneksi terenkripsi biasanya diperlukan dalam organisasi yang peduli dengan keamanan. Dalam artikel ini, kami telah membagikan pengalaman kami tentang cara mengonfigurasi koneksi terenkripsi di SQL Server.
Pendekatan kami melibatkan pendaftaran sertifikat, menerapkan sertifikat itu ke instance SQL Server, dan mengaktifkan Enkripsi Paksa. Penting untuk dicatat bahwa ketika Anda menyetel Enkripsi Paksa ke YA di SQL Server, semua klien yang terhubung ke instans harus menggunakan protokol kriptografik yang sama.
Referensi
- Aktifkan Koneksi Terenkripsi
- Sertifikat SQL Server dan Kunci Asimetris