Aktivieren von verschlüsselten Verbindungen zum DatenbankmodulEnable Encrypted Connections to the Database Engine

Dieses Thema gilt für: JaSQL ServerkeineAzure SQL-DatenbankkeineAzure SQL Data Warehouse keine Parallel DatawarehouseTHIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

In diesem Thema wird beschrieben, wie Sie verschlüsselte Verbindungen für eine Instanz von SQL Server-DatenbankmodulSQL Server Database Engine durch Angeben eines Zertifikats für die DatenbankmodulDatabase Engine mithilfe des SQL ServerSQL Server -Konfigurations-Managers aktivieren können.This topic describes how to enable encrypted connections for an instance of the SQL Server-DatenbankmodulSQL Server Database Engine by specifying a certificate for the DatenbankmodulDatabase Engine using SQL ServerSQL Server Configuration Manager. Für den Servercomputer muss ein Zertifikat bereitgestellt worden sein, und der Clientcomputer muss so eingerichtet sein, dass er die Stammzertifizierungsstelle des Zertifikats als vertrauenswürdig einstuft.The server computer must have a certificate provisioned, and the client machine must be set up to trust the certificate's root authority. Zertifikate werden bereitgestellt, indem sie mithilfe eines Importvorgangs in Windows installiert werden.Provisioning is the process of installing a certificate by importing it into Windows.

Das Zertifikat muss für die Serverauthentifizierungausgegeben sein.The certificate must be issued for Server Authentication. Der Name des Zertifikats muss der vollqualifizierte Domänenname (FQDN) des Computers sein.The name of the certificate must be the fully qualified domain name (FQDN) of the computer.

Zertifikate werden lokal für diesen Benutzer auf dem Computer gespeichert.Certificates are stored locally for the users on the computer. Sie müssen den SQL ServerSQL Server -Configuration Manager mit einem Konto mit lokalen Administratorberechtigungen ausführen, um ein Zertifikat zu installieren, das von SQL ServerSQL Server verwendet werden soll.To install a certificate for use by SQL ServerSQL Server, you must be running SQL ServerSQL Server Configuration Manager with an account that has local administrator privileges.

Der Client muss in der Lage sein, den Besitzer des vom Server verwendeten Zertifikats zu überprüfen.The client must be able to verify the ownership of the certificate used by the server. Wenn der Client über das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle verfügt, die das Serverzertifikat signiert hat, sind keine weiteren Konfigurationsschritte erforderlich.If the client has the public key certificate of the certification authority that signed the server certificate, no further configuration is necessary. MicrosoftMicrosoft Windows enthält die Zertifikate für öffentliche Schlüssel von vielen Zertifizierungsstellen. Windows includes the public key certificates of many certification authorities. Wenn das Serverzertifikat von einer öffentlichen oder privaten Zertifizierungsstelle signiert wurde, für die der Client kein öffentliches Schlüsselzertifikat besitzt, müssen Sie das Zertifikat für öffentliche Schlüssel der Zertifizierungsstelle installieren, die das Serverzertifikat signiert hat.If the server certificate was signed by a public or private certification authority for which the client does not have the public key certificate, you must install the public key certificate of the certification authority that signed the server certificate.

Hinweis

Wenn Sie die Verschlüsselung bei einem Failovercluster verwenden möchten, müssen Sie das Serverzertifikat mit dem vollqualifizierten DNS-Namen des virtuellen Servers auf allen Knoten im Failovercluster installieren.To use encryption with a failover cluster, you must install the server certificate with the fully qualified DNS name of the virtual server on all nodes in the failover cluster. Wenn Sie z.B. über einen Cluster mit zwei Knoten verfügen, wobei die Knotennamen test1.<Ihr_Unternehmen>.com und test2.<Ihr_Unternehmen>.com lauten, und ein virtueller Server den Namen „virtsql“ trägt, müssen Sie ein Zertifikat für virtsql.<Ihr_Unternehmen>.com auf beiden Knoten installieren.For example, if you have a two-node cluster, with nodes named test1.<your company>.com and test2.<your company>.com, and you have a virtual server named virtsql, you need to install a certificate for virtsql.<your company>.com on both nodes. Sie können den Wert der Option ForceEncryptionauf Yes.You can set the value of the ForceEncryptionoption to Yes.

Hinweis

Wenn Sie eine verschlüsselte Verbindung für einen Azure Search-Indexer zu SQL Server auf einer Azure-VM erstellen wollen, finden Sie weitere Informationen unter Konfigurieren einer Verbindung eines Azure Search-Indexers mit SQL Server auf einer Azure-VM.When creating encrypted connections for an Azure Search indexer to SQL Server on an Azure VM, see Configure a connection from an Azure Search indexer to SQL Server on an Azure VM.

So stellen Sie ein Zertifikat auf dem Server bereit bzw. installieren Sie ein ZertifikatTo provision (install) a certificate on the server

  1. Klicken Sie im Menü Start auf Ausführen, geben Sie in das Feld Öffnen den Wert MMC ein, und klicken Sie dann auf OK.On the Start menu, click Run, and in the Open box, type MMC and click OK.

  2. Klicken Sie in der MMC-Konsole im Menü Datei auf Snap-In hinzufügen/entfernen.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.In the Add/Remove Snap-in dialog box, click Add.

  4. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.In the Add Standalone Snap-in dialog box, click Certificates, click Add.

  5. Klicken Sie im Dialogfeld Zertifikate-Snap-In auf Computerkonto, und klicken Sie dann auf Fertig stellen.In the Certificates snap-in dialog box, click Computer account, and then click Finish.

  6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.In the Add Standalone Snap-in dialog box, click Close.

  7. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.In the Add/Remove Snap-in dialog box, click OK.

  8. Erweitern Sie im Dialogfeld Zertifikate-Snap-In die Option Zertifikate, erweitern Sie Eigene Zertifikate, und klicken Sie dann mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und klicken Sie anschließend auf Importieren.In the Certificates snap-in, expand Certificates, expand Personal, and then right-click Certificates, point to All Tasks, and then click Import.

  9. Klicken Sie mit der rechten Maustaste auf das importierte Zertifikat, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Privatschlüssel verwalten.Right-click the imported certificate, point to All Tasks, and then click Manage Private Keys. Fügen Sie im Dialogfeld Sicherheit die Leseberechtigung für das Benutzerkonto hinzu, das vom SQL Server-Dienstkonto verwendet wird.In the Security dialog box, add read permission for the user account used by the SQL Server service account.

  10. Ergänzen Sie die Angaben im Zertifikatimport-Assistenten, um dem Computer ein Zertifikat hinzuzufügen, und schließen Sie dann die MMC-Konsole.Complete the Certificate Import Wizard, to add a certificate to the computer, and close the MMC console. Weitere Informationen zum Hinzufügen von Zertifikaten zu einem Computer finden Sie in der Windows-Dokumentation.For more information about adding a certificate to a computer, see your Windows documentation.

So exportieren Sie das ServerzertifikatTo export the server certificate

  1. Erweitern Sie im Zertifikate -Snap-In den Ordner Zertifikate / Eigene Zertifikate , klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.From the Certificates snap-in, locate the certificate in the Certificates / Personal folder, right-click the Certificate, point to All Tasks, and then click Export.

  2. Führen Sie den Zertifikatexport-Assistentenaus, und speichern Sie die Zertifikatsdatei in einem geeigneten Speicherort.Complete the Certificate Export Wizard, storing the certificate file in a convenient location.

Konfigurieren des Servers zum Erzwingen von verschlüsselten VerbindungenTo configure the server to force encrypted connections

  1. Erweitern Sie im SQL Server Configuration Manager den Eintrag SQL Server-Netzwerkkonfiguration, klicken Sie mit der rechten Maustaste auf Protokolle für <Serverinstanz>, und wählen Sie dann Eigenschaften.In SQL Server Configuration Manager, expand SQL Server Network Configuration, right-click Protocols for <server instance>, and then selectProperties.

  2. Wählen Sie im Dialogfeld Eigenschaften von Protokolle für <Instanzname> auf der Registerkarte Zertifikat das gewünschte Zertifikat aus der Dropdownliste für das Feld Zertifikat aus, und klicken Sie dann auf OK.In the Protocols for <instance name> Properties dialog box, on the Certificate tab, select the desired certificate from the drop-down for the Certificate box, and then click OK.

  3. Aktivieren Sie auf der Registerkarte Flags im Feld ForceEncryption die Option Ja, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.On the Flags tab, in the ForceEncryption box, select Yes, and then click OK to close the dialog box.

  4. Starten Sie den SQL ServerSQL Server -Dienst neu.Restart the SQL ServerSQL Server service.

Hinweis

Konfigurieren Sie den Client so, dass verschlüsselte Verbindungen angefordert werden, um eine sichere Verbindung zwischen Client und Server zu gewährleisten.To ensure secure connectivity between client and server, configure the client to request encrypted connections. Weitere Informationen finden Sie weiter unten in diesem Artikel.More details are explained later in this article.

PlatzhalterzertifikateWildcard Certificates

Ab SQL ServerSQL Server 2008 unterstützen SQL ServerSQL Server und der SQL ServerSQL Server Native Client Platzhalterzertifikate.Beginning with SQL ServerSQL Server 2008, SQL ServerSQL Server and the SQL ServerSQL Server Native Client support wildcard certificates. Andere Clients unterstützen möglicherweise keine Platzhalterzertifikate.Other clients might not support wildcard certificates. Weitere Informationen finden Sie in der Clientdokumentation.For more information, see the client documentation. Platzhalterzertifikate können nicht mithilfe von SQL ServerSQL Server Configuration Manager ausgewählt werden.Wildcard certificate cannot be selected by using the SQL ServerSQL Server Configuration Manager. Sie müssen den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib bearbeiten und den Fingerabdruck des Zertifikats ohne Leerraum zum Wert des Zertifikats hinzufügen, um ein Platzhalterzertifikat zu verwenden.To use a wildcard certificate, you must edit the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib registry key, and enter the thumbprint of the certificate, without spaces, to the Certificate value.

Warnung

Ein fehlerhaftes Bearbeiten der Registrierung kann eine schwerwiegende Beschädigung des Systems zur Folge haben.Incorrectly editing the registry can severely damage your system. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie die wertvollen Daten auf dem Computer sichern.Before making changes to the registry, we recommend that you back up any valued data on the computer.

So konfigurieren Sie den Client zum Anfordern verschlüsselter VerbindungenTo configure the client to request encrypted connections

  1. Kopieren Sie entweder das Originalzertifikat oder die exportierte Zertifikatsdatei auf den Clientcomputer.Copy either the original certificate or the exported certificate file to the client computer.

  2. Installieren Sie auf dem Clientcomputer mithilfe des Zertifikate -Snap-Ins entweder das Stammzertifikat oder die exportierte Zertifikatsdatei.On the client computer, use the Certificates snap-in to install either the root certificate or the exported certificate file.

  3. Klicken Sie im Konsolenbereich mit der rechten Maustaste auf SQL Server Native Client-Konfiguration, und klicken Sie dann auf Eigenschaften.In the console pane, right-click SQL Server Native Client Configuration, and then click Properties.

  4. Klicken Sie auf der Seite Flags im Feld Protokollverschlüsselung erzwingen auf Ja.On the Flags page, in the Force protocol encryption box, click Yes.

So verschlüsseln Sie eine Verbindung in SQL Server Management StudioTo encrypt a connection from SQL Server Management Studio

  1. Klicken Sie auf der Symbolleiste des Objekt-Explorers auf Verbinden, und klicken Sie dann auf Datenbankmodul.On the Object Explorer toolbar, click Connect, and then click Database Engine.

  2. Vervollständigen Sie im Dialogfeld Verbindung mit Server herstellen die Verbindungseinstellungen, und klicken Sie dann auf Optionen.In the Connect to Server dialog box, complete the connection information, and then click Options.

  3. Klicken Sie auf der Registerkarte Verbindungseigenschaften auf Verbindung verschlüsseln.On the Connection Properties tab, click Encrypt connection.

Weitere Informationen finden Sie unterSee Also

TLS 1.2-Unterstützung für Microsoft SQL ServerTLS 1.2 support for Microsoft SQL Server