Verwendung SSL mit einer Microsoft SQL Server-DB-Instance - Amazon Relational Database Service
Erzwingen SSLVerschlüsseln spezifischer Verbindungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung SSL mit einer Microsoft SQL Server-DB-Instance

Sie können Secure Sockets Layer (SSL) verwenden, um Verbindungen zwischen Ihren Client-Anwendungen und Ihren RDS Amazon-DB-Instances zu verschlüsseln, auf denen Microsoft SQL Server ausgeführt wird. SSLSupport ist in allen AWS Regionen für alle unterstützten SQL Server-Editionen verfügbar.

Wenn Sie eine SQL Server-DB-Instance erstellen, RDS erstellt Amazon ein SSL Zertifikat dafür. Das SSL Zertifikat enthält den DB-Instance-Endpunkt als Common Name (CN) für das SSL Zertifikat zum Schutz vor Spoofing-Angriffen.

Es gibt zwei Möglichkeiten, eine Verbindung SSL zu Ihrer SQL Server-DB-Instance herzustellen:

  • SSLFür alle Verbindungen erzwingen — dies geschieht für den Client transparent, und der Client muss für die Nutzung SSL keinerlei Arbeit verrichten.

    Anmerkung

    Wenn Sie SSMS Version rds.force_ssl 19.3, 20.0 1 und 20.2 auswählen und verwenden, überprüfen Sie Folgendes:

    • Aktivieren Sie das Trust Server-Zertifikat in. SSMS

    • Importieren Sie das Zertifikat in Ihr System.

  • Bestimmte Verbindungen verschlüsseln — dadurch wird eine SSL Verbindung von einem bestimmten Client-Computer aus eingerichtet, und Sie müssen am Client arbeiten, um Verbindungen zu verschlüsseln.

Informationen zur Unterstützung von Transport Layer Security (TLS) für SQL Server finden Sie unter TLS1.2 Unterstützung für Microsoft SQL Server.

Erzwingen Sie die Verwendung von Verbindungen zu Ihrer DB-Instance SSL

Sie können die Verwendung aller Verbindungen zu Ihrer DB-Instance erzwingenSSL. Wenn Sie die Verwendung von Verbindungen erzwingenSSL, geschieht dies für den Client transparent, und der Client muss keine Arbeit für die Verwendung SSL ausführen.

Wenn Sie erzwingen möchtenSSL, verwenden Sie den rds.force_ssl Parameter. Standardmäßig ist der rds.force_ssl-Parameter auf 0 (off) festgelegt. Stellen Sie den rds.force_ssl Parameter auf ein, 1 (on) um die Verwendung von Verbindungen zu erzwingenSSL. Der rds.force_ssl-Parameter ist statisch, daher müssen Sie nach dem Ändern des Werts Ihre DB-Instance neu starten, damit die Änderung übernommen wird.

Um die Verwendung aller Verbindungen zu Ihrer DB-Instance zu erzwingen SSL

  1. Bestimmen Sie die Parametergruppe, die an Ihre DB-Instance angefügt ist:

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

    2. Wählen Sie in der oberen rechten Ecke der RDS Amazon-Konsole die AWS Region Ihrer DB-Instance aus.

    3. Wählen Sie im Navigationsbereich Databases (Datenbanken) und dann den Namen Ihrer DB-Instance aus, um deren Details anzuzeigen.

    4. Wählen Sie die Registerkarte Konfiguration aus. Suchen Sie die Parametergruppe im Abschnitt.

  2. Falls erforderlich, erstellen Sie eine neue Parametergruppe. Falls Ihre DB-Instance die standardmäßige Parametergruppe verwendet, müssen Sie eine neue Parametergruppe erstellen. Falls Ihre DB-Instance eine nicht standardmäßige Parametergruppe verwendet, können Sie die vorhandene Parametergruppe bearbeiten oder eine neue Parametergruppe erstellen. Falls Sie eine vorhandene Parametergruppe bearbeiten, wirkt sich die Änderung auf alle DB-Instances aus, die diese Parametergruppe verwenden.

    Befolgen Sie die Anweisungen in , um eine neue Parametergruppe zu erstelle Erstellen einer DB-Parametergruppe in Amazon RDS.

  3. Bearbeiten Sie Ihre neue oder vorhandene Parametergruppe, um den rds.force_ssl-Parameter auf true zu setzen. Befolgen Sie die Anweisungen in , um die Parametergruppe zu bearbeite Ändern von Parametern in einer DB-Parametergruppe in Amazon RDS.

  4. Falls Sie eine neue Parametergruppe erstellt haben, ändern Sie Ihre DB-Instance, um die neue Parametergruppe anzufügen. Ändern Sie die Einstellung DB-Parametergruppe der DB-Instance. Weitere Informationen finden Sie unter Ändern einer Amazon RDS DB-Instance.

  5. Starten Sie Ihre DB-Instance neu. Weitere Informationen finden Sie unter Neustarten einer DB-Instance.

Verschlüsseln spezifischer Verbindungen

Sie können die Verwendung aller Verbindungen zu Ihrer DB-Instance SSL erzwingen oder nur Verbindungen von bestimmten Client-Computern verschlüsseln. Für die Verwendung SSL von einem bestimmten Client aus müssen Sie Zertifikate für den Client-Computer abrufen, Zertifikate auf den Client-Computer importieren und dann die Verbindungen vom Client-Computer verschlüsseln.

Anmerkung

Alle SQL Serverinstanzen, die nach dem 5. August 2014 erstellt wurden, verwenden den DB-Instance-Endpunkt im Feld Common Name (CN) des SSL Zertifikats. Vor dem 5. August 2014 war die SSL Zertifikatsüberprüfung für VPC basierte SQL Serverinstanzen nicht verfügbar. Wenn Sie über eine VPC basierte SQL Server-DB-Instance verfügen, die vor dem 5. August 2014 erstellt wurde, und Sie die SSL Zertifikatsüberprüfung verwenden und sicherstellen möchten, dass der Instanzendpunkt als CN für das SSL Zertifikat für diese DB-Instance enthalten ist, benennen Sie die Instanz um. Wenn Sie eine DB-Instance umbenennen, wird ein neues Zertifikat bereitgestellt und die Instance neu gestartet, um das neue Zertifikat zu aktivieren.

Herunterladen von Zertifikaten für Client-Computer

Um Verbindungen von einem Client-Computer zu einer RDS Amazon-DB-Instance zu verschlüsseln, auf der Microsoft SQL Server ausgeführt wird, benötigen Sie ein Zertifikat auf Ihrem Client-Computer.

Laden Sie das Zertifikat auf Ihren Client-Computer herunter. Sie können ein Stammzertifikat herunterladen, das für alle Regionen funktioniert. Sie können auch ein Zertifikatpaket herunterladen, das sowohl das alte als auch das neue Stammzertifikat enthält. Zusätzlich können Sie regionsspezifische Zwischenzertifikate herunterladen. Weitere Informationen zum Herunterladen von Zertifikaten finden Sie unter .

Nach dem Herunterladen des entsprechenden Zertifikats importieren Sie es anhand der Vorgehensweise im folgenden Abschnitt in Ihr Microsoft Windows-Betriebssystem.

Importieren von Zertifikaten auf Client-Computer

Sie können die folgende Vorgehensweise verwenden, um Ihr Zertifikat in das Microsoft Windows-Betriebssystem auf Ihrem Client-Computer zu importieren.

So importieren Sie das Zertifikat in Ihr Windows-Betriebssystem:

  1. Geben Sie im Menü Start den Befehl Run in das Suchfeld ein und drücken Sie die Eingabetaste.

  2. Geben Sie in das Feld Öffnen MMC ein und wählen Sie dann OK.

  3. Wählen Sie in der MMC Konsole im Menü Datei die Option Snap-In hinzufügen/entfernen.

  4. Wählen Sie im Dialogfeld Add or Remove Snap-ins (Snap-ins hinzufügen oder entfernen) für Available snap-ins (Verfügbare Snap-ins) die Option Certificates und dann Hinzufügen aus.

  5. Wählen Sie im Dialogfeld Certificates snap-in (Snap-In-Zertifikate) die Option Computer account (Computerkonto) aus und klicken Sie anschließend auf Weiter.

  6. Wählen Sie im Dialogfeld Select Computer (Computer auswählen) die Option Beenden aus.

  7. Wählen Sie im Dialogfeld Add or Remove Snap-ins (Snap-ins hinzufügen oder entfernen) OK aus.

  8. Erweitern Sie in der MMC Konsole Zertifikate, öffnen Sie das Kontextmenü (mit der rechten Maustaste) für Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Alle Aufgaben und dann Importieren aus.

  9. Wählen Sie auf der ersten Seite des Assistenten zum Importieren von Zertifikaten Weiter.

  10. Wählen Sie auf der zweiten Seite des Assistenten zum Importieren von Zertifikaten Durchsuchen. Ändern Sie im Suchfenster den Dateityp auf All files (*.*) (Alle Dateien (*.*)), da PEM keine standardmäßige Zertifikatserweiterung ist. Suchen Sie die PEM-Datei, die Sie zuvor heruntergeladen haben.

  11. Wählen Sie Öffnen, um die Zertifikatdatei auszuwählen und wählen Sie dann Weiter.

  12. Wählen Sie auf der dritten Seite des Assistenten zum Importieren von Zertifikaten Weiter.

  13. Wählen Sie auf der vierten Seite des Assistenten zum Importieren von Zertifikaten Beenden. Ein Dialogfeld zeigt an, dass der Import erfolgreich war.

  14. Erweitern Sie in der MMC Konsole Zertifikate, erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie dann Zertifikate aus. Suchen Sie das Zertifikat, um zu bestätigen, dass es existiert, wie hier gezeigt.

    In der MMC Konsole wird im Navigationsbereich der Ordner Certificates ausgewählt, der sich nach Konsolenstamm, Certificates (Local Computer) und Trusted Root Certification Authority aufteilt. Wählen Sie auf der Hauptseite das erforderliche CA-Zertifikat aus.

Verschlüsseln von Verbindungen zu einer RDS Amazon-DB-Instance, auf der Microsoft SQL Server ausgeführt wird

Nachdem Sie ein Zertifikat in Ihren Client-Computer importiert haben, können Sie Verbindungen vom Client-Computer zu einer RDS Amazon-DB-Instance verschlüsseln, auf der Microsoft SQL Server ausgeführt wird.

Verwenden Sie für SQL Server Management Studio das folgende Verfahren. Weitere Informationen zu SQL Server Management Studio finden Sie unter Verwenden von SQL Server Management Studio.

Um Verbindungen von SQL Server Management Studio aus zu verschlüsseln

  1. Starten Sie SQL Server Management Studio.

  2. Geben Sie für Connect to server (Mit Server verbinden) die Serverinformationen, den Anmeldebenutzernamen und das Passwort ein.

  3. Wählen Sie Optionen aus.

  4. Wählen Sie Encrypt connection (Verbindungen verschlüsseln) aus.

  5. Wählen Sie Connect (Verbinden) aus.

  6. Prüfen Sie, ob Ihre Verbindung verschlüsselt ist, indem Sie die folgende Abfrage ausführen. Die Abfrage muss true für encrypt_option zurückgeben. 

    select ENCRYPT_OPTION from SYS.DM_EXEC_CONNECTIONS where SESSION_ID = @@SPID

Verwenden Sie für jeden anderen SQL Client das folgende Verfahren.

Um Verbindungen von anderen SQL Clients zu verschlüsseln

  1. Fügen Sie encrypt=true an Ihre Verbindungszeichenfolge an. Diese Zeichenfolge ist möglicherweise als Option oder als Eigenschaft auf der Verbindungsseite in GUI Tools verfügbar.

    Anmerkung

    Um die SSL Verschlüsselung für Clients zu aktivieren, die eine Verbindung herstellenJDBC, müssen Sie möglicherweise das RDS SQL Amazon-Zertifikat zum Java CA-Zertifikatsspeicher (cacerts) hinzufügen. Dies erledigen Sie mithilfe des Dienstprogramms Keytool.

  2. Prüfen Sie, ob Ihre Verbindung verschlüsselt ist, indem Sie die folgende Abfrage ausführen. Die Abfrage muss true für encrypt_option zurückgeben. 

    select ENCRYPT_OPTION from SYS.DM_EXEC_CONNECTIONS where SESSION_ID = @@SPID