데이터베이스 엔진에 암호화된 연결 사용Enable Encrypted Connections to the Database Engine

이 항목 적용 대상: 예SQL Server없습니다Azure SQL 데이터베이스없습니다Azure SQL 데이터 웨어하우스 없습니다 병렬 데이터 웨어하우스THIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse

이 항목에서는 SQL Server 데이터베이스 엔진SQL Server Database Engine 구성 관리자를 사용하여 데이터베이스 엔진Database Engine 에 대한 인증서를 지정하여 SQL ServerSQL Server 인스턴스에 암호화된 연결을 사용하도록 설정하는 방법에 대해 설명합니다.This topic describes how to enable encrypted connections for an instance of the SQL Server 데이터베이스 엔진SQL Server Database Engine by specifying a certificate for the 데이터베이스 엔진Database Engine using SQL ServerSQL Server Configuration Manager. 서버 컴퓨터에 구축된 인증서가 있어야 하며 클라이언트 컴퓨터가 해당 인증서의 루트 인증 기관을 트러스트하도록 설정되어 있어야 합니다.The server computer must have a certificate provisioned, and the client machine must be set up to trust the certificate's root authority. 구축은 인증서를 Windows로 가져와서 설치하는 프로세스입니다.Provisioning is the process of installing a certificate by importing it into Windows.

인증서는 서버 인증용으로 발행되어야 합니다.The certificate must be issued for Server Authentication. 인증서의 이름은 컴퓨터의 정규화된 도메인 이름(FQDN)이어야 합니다.The name of the certificate must be the fully qualified domain name (FQDN) of the computer.

인증서는 사용자 컴퓨터에 로컬로 저장됩니다.Certificates are stored locally for the users on the computer. SQL ServerSQL Server에서 사용할 인증서를 설치하려면 로컬 관리자 권한이 있는 계정으로 SQL ServerSQL Server 구성 관리자를 실행해야 합니다.To install a certificate for use by SQL ServerSQL Server, you must be running SQL ServerSQL Server Configuration Manager with an account that has local administrator privileges.

클라이언트가 서버에 사용되는 인증서의 소유권을 확인할 수 있어야 합니다.The client must be able to verify the ownership of the certificate used by the server. 클라이언트에 서버 인증서를 서명한 인증 기관의 공개 키 인증서가 있으면 추가 구성은 필요 없습니다.If the client has the public key certificate of the certification authority that signed the server certificate, no further configuration is necessary. MicrosoftMicrosoft Windows에는 많은 인증 기관의 공개 키 인증서가 포함되어 있습니다. Windows includes the public key certificates of many certification authorities. 클라이언트에 공개 키 인증서가 없는 공개 또는 개인 인증 기관에서 서버 인증서를 서명한 경우 서버 인증서를 서명한 인증 기관의 공개 키 인증서를 설치해야 합니다.If the server certificate was signed by a public or private certification authority for which the client does not have the public key certificate, you must install the public key certificate of the certification authority that signed the server certificate.

참고

장애 조치(Failover) 클러스터에 암호화를 사용하려면 장애 조치 클러스터의 모든 노드에 있는 가상 서버의 정규화된 DNS 이름으로 서버 인증서를 설치해야 합니다.To use encryption with a failover cluster, you must install the server certificate with the fully qualified DNS name of the virtual server on all nodes in the failover cluster. 예를 들어 노드의 이름이 test1.<회사>.com 및 test2.<회사>.com인 두 노드 클러스터와 virtsql이라는 가상 서버가 있는 경우 virtsql.<회사>.com에 대한 인증서를 두 노드에 모두 설치해야 합니다.For example, if you have a two-node cluster, with nodes named test1.<your company>.com and test2.<your company>.com, and you have a virtual server named virtsql, you need to install a certificate for virtsql.<your company>.com on both nodes. ForceEncryption옵션 값을 로 설정할 수 있습니다.You can set the value of the ForceEncryptionoption to Yes.

참고

Azure VM에서 Azure Search 인덱서로부터 SQL Server로의 암호화된 연결을 만드는 경우 Azure VM에서 Azure Search 인덱서로부터 SQL Server로의 연결 구성을 참조하세요.When creating encrypted connections for an Azure Search indexer to SQL Server on an Azure VM, see Configure a connection from an Azure Search indexer to SQL Server on an Azure VM.

서버에 인증서를 구축(설치)하려면To provision (install) a certificate on the server

  1. 시작 메뉴에서 실행을 클릭하고 열기 입력란에 MMC 를 입력한 다음 확인을 클릭합니다.On the Start menu, click Run, and in the Open box, type MMC and click OK.

  2. MMC 콘솔의 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.In the MMC console, on the File menu, click Add/Remove Snap-in.

  3. 스냅인 추가/제거 대화 상자에서 추가를 클릭합니다.In the Add/Remove Snap-in dialog box, click Add.

  4. 독립 실행형 스냅인 추가 대화 상자에서 인증서를 클릭하고 추가를 클릭합니다.In the Add Standalone Snap-in dialog box, click Certificates, click Add.

  5. 인증서 스냅인 대화 상자에서 컴퓨터 계정을 클릭한 다음 마침을 클릭합니다.In the Certificates snap-in dialog box, click Computer account, and then click Finish.

  6. 독립 실행형 스냅인 추가 대화 상자에서 닫기를 클릭합니다.In the Add Standalone Snap-in dialog box, click Close.

  7. 스냅인 추가/제거 대화 상자에서 확인을 클릭합니다.In the Add/Remove Snap-in dialog box, click OK.

  8. 인증서 스냅인에서 인증서, 개인을 차례로 확장한 다음 인증서를 마우스 오른쪽 단추로 클릭하고 모든 태스크를 가리킨 다음 가져오기를 클릭합니다.In the Certificates snap-in, expand Certificates, expand Personal, and then right-click Certificates, point to All Tasks, and then click Import.

  9. 가져온 인증서를 마우스 오른쪽 단추로 클릭하고 모든 태스크를 가리킨 다음 개인 키 관리를 클릭합니다.Right-click the imported certificate, point to All Tasks, and then click Manage Private Keys. 보안 대화 상자에서 SQL Server 서비스 계정에서 사용하는 사용자 계정에 대한 읽기 권한을 추가합니다.In the Security dialog box, add read permission for the user account used by the SQL Server service account.

  10. 인증서 가져오기 마법사를 완료하여 컴퓨터에 인증서를 추가하고 MMC 콘솔을 닫습니다.Complete the Certificate Import Wizard, to add a certificate to the computer, and close the MMC console. 컴퓨터에 인증서를 추가하는 방법은 Windows 설명서를 참조하세요.For more information about adding a certificate to a computer, see your Windows documentation.

서버 인증서를 내보내려면To export the server certificate

  1. 인증서 스냅인의 인증서 / 개인 폴더에서 인증서를 찾은 다음 인증서를 마우스 오른쪽 단추로 클릭하고 모든 태스크를 가리킨 다음 내보내기를 클릭합니다.From the Certificates snap-in, locate the certificate in the Certificates / Personal folder, right-click the Certificate, point to All Tasks, and then click Export.

  2. 편리한 위치에 인증서 파일을 저장하여 인증서 내보내기 마법사를 완료합니다.Complete the Certificate Export Wizard, storing the certificate file in a convenient location.

암호화된 연결을 허용하도록 서버를 구성하려면To configure the server to accept encrypted connections

  1. SQL Server 구성 관리자에서 SQL Server 네트워크 구성을 펼치고 <서버 인스턴스>에 대한 프로토콜을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.In SQL Server Configuration Manager, expand SQL Server Network Configuration, right-click Protocols for <server instance>, and then selectProperties.

  2. <인스턴스 이름>에 대한 프로토콜 속성 대화 상자에서 인증서 탭의 인증서 상자에 대한 드롭다운에서 원하는 인증서를 선택한 다음 확인을 클릭합니다.In the Protocols for <instance name> Properties dialog box, on the Certificate tab, select the desired certificate from the drop-down for the Certificate box, and then click OK.

  3. 플래그 탭의 ForceEncryption 상자에서 를 선택한 다음 확인 을 클릭하여 대화 상자를 닫습니다.On the Flags tab, in the ForceEncryption box, select Yes, and then click OK to close the dialog box.

  4. SQL ServerSQL Server 서비스를 다시 시작합니다.Restart the SQL ServerSQL Server service.

와일드카드 인증서Wildcard Certificates

SQL ServerSQL Server 2008부터 SQL ServerSQL ServerSQL ServerSQL Server 원시 클라이언트는 와일드카드 인증서를 지원합니다.Beginning with SQL ServerSQL Server 2008, SQL ServerSQL Server and the SQL ServerSQL Server Native Client support wildcard certificates. 다른 클라이언트에서는 와일드카드 인증서를 지원하지 않습니다.Other clients might not support wildcard certificates. 자세한 내용은 클라이언트 설명서를 참조하세요.For more information, see the client documentation. SQL ServerSQL Server Configuration Manager를 사용하여 와일드카드 인증서를 선택할 수 없습니다.Wildcard certificate cannot be selected by using the SQL ServerSQL Server Configuration Manager. 와일드카드 인증서를 사용하려면 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib 레지스트리 키를 편집하고 인증서 값에 공백 없이 인증서의 지문을 입력해야 합니다.To use a wildcard certificate, you must edit the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQLServer\SuperSocketNetLib registry key, and enter the thumbprint of the certificate, without spaces, to the Certificate value.

경고

레지스트리를 올바르게 편집하지 않으면 시스템을 심각하게 손상시킬 수 있습니다.Incorrectly editing the registry can severely damage your system. 따라서 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터는 백업해 두는 것이 좋습니다.Before making changes to the registry, we recommend that you back up any valued data on the computer.

암호화된 연결을 요청하도록 클라이언트를 구성하려면To configure the client to request encrypted connections

  1. 원래 인증서 또는 내보낸 인증서 파일을 클라이언트 컴퓨터로 복사합니다.Copy either the original certificate or the exported certificate file to the client computer.

  2. 클라이언트 컴퓨터에서 인증서 스냅인을 사용하여 루트 인증서 또는 내보낸 인증서 파일을 설치합니다.On the client computer, use the Certificates snap-in to install either the root certificate or the exported certificate file.

  3. 콘솔 창에서 SQL Server Native Client 구성을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.In the console pane, right-click SQL Server Native Client Configuration, and then click Properties.

  4. 플래그 페이지의 프로토콜 암호화 강제 사용 상자에서 를 클릭합니다.On the Flags page, in the Force protocol encryption box, click Yes.

SQL Server Management Studio의 연결을 암호화하려면To encrypt a connection from SQL Server Management Studio

  1. 개체 탐색기 도구 모음에서 연결, 데이터베이스 엔진을 차례로 클릭합니다.On the Object Explorer toolbar, click Connect, and then click Database Engine.

  2. 서버에 연결 대화 상자에서 연결 정보를 지정한 다음 옵션을 클릭합니다.In the Connect to Server dialog box, complete the connection information, and then click Options.

  3. 연결 속성 탭에서 연결 암호화를 클릭합니다.On the Connection Properties tab, click Encrypt connection.

관련 항목:See Also

Microsoft SQL Server에 대한 TLS 1.2 지원TLS 1.2 support for Microsoft SQL Server