Chapter 1 Securing Your Server and Network(5):使用SSL加密會話

標籤：tracking   執行   mod   管理   image   windows   href   也有   class   

原文出處：http://blog.csdn.net/dba_huangzj/article/details/38063823，專題檔案夾：http://blog.csdn.net/dba_huangzj/article/details/37906349

未經作者允許，不論什麼人不得以“原創”形式公布。也不得已用於商業用途，本人不負責不論什麼法律責任。

        前一篇：http://blog.csdn.net/dba_huangzj/article/details/38037457

 

前言：

 

在SQL Server和client之間。資料和SQL查詢會以網路包的形式傳輸。能夠使用一些包嗅探器。如Wireshark(http://www.wireshark.org/)等，把這些網路包轉換成可讀形式。

Tabular Data Stream (TDS)，表格式資料流，也有譯成扁平資料流，是SQL Server在網路中傳輸包的協議。假設想保護這些資料不被嗅探器偵測，須要使用SSL加密client和server之間的互動。

 

準備工作：

 

假設你希望使用SSL保護通訊，須要從憑證管理中心（Certificate Authority /CA）如VeriSign, Comodo, 或者 DigiCert購買SSL認證。也能夠自己產生認證，可是並非保證效果，特別是由不被信任的第三方產生的認證，安全性不高。

為了讓SQL Server使用認證，須要以執行SQL Server服務的同樣帳號安裝認證。或者，假設SQL Server服務由Windows 系統帳號、託管帳號或者虛擬帳號執行SQL Server服務，那麼要使用server上有管理員權限的帳號來安裝認證。

 

實現：

 

1. 開啟SQL Server組態管理員。選擇【SQL Server 網路設定】，並選擇相應的執行個體，本例使用【SQL2012的協議】

 

 

2.右鍵相應的協議 ，選擇【屬性】：

 

3. 把【標誌】頁中的【強制加密】項設為【是】，這會使得你不允許非加密串連：

 

4. 在【認證】頁，加入已經安裝好的認證。注意，假設你沒有選擇認證，SQL Server會自己主動建立並使用一個【自簽名】認證。

5.點擊確定並重新啟動SQL Server服務。

 

原理：

 

當你選擇了強制加密之後，client會自己主動使用SSL串連。

你也能夠在client連接字串中指定，比方：

Driver={SQL Server Native Client 11.0};Server=myServerAddress;Database=myDataBase; Trusted_Connection=yes;Encrypt=yes;

另外還能夠在SSMS中使用以下方式串連：

1. 在【串連到server】的介面中，開啟【選項】：

 

2.在【串連屬性】中勾上【加密串連】：

 

3. 點擊【串連】

4.然後能夠在SQL Server中查看是否已經加密：

SELECT encrypt_option FROM sys.dm_exec_connections WHERE session_id = @@SPID;

假設已加密，會顯示【True】，否則顯示【FALSE】

 

注意：認證必須有效，而且必須在認證到期前更新。

下一篇：http://blog.csdn.net/dba_huangzj/article/details/38082123

Chapter 1 Securing Your Server and Network(5):使用SSL加密會話