Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mise à jour des applications pour se connecter aux instances de base de données Microsoft SQL Server à l'aide de nouveaux TLS certificatsSSL/
Depuis le 13 janvier 2023, Amazon RDS a publié de nouveaux certificats d'autorité de certification (CA) pour la connexion à vos RDS instances de base de données à l'aide de Secure Socket Layer ou de Transport Layer Security (SSL/TLS). Vous trouverez ci-après des informations sur la mise à jour de vos applications afin d'utiliser les nouveaux certificats.
Cette rubrique peut vous aider à déterminer si des applications clientes utilisentSSL/TLSpour se connecter à vos instances de base de données. Si tel est le cas, il vous est alors possible de vérifier si ces applications nécessitent une vérification du certificat pour se connecter.
Note
Certaines applications sont configurées pour se connecter aux instances de base de données SQL du serveur uniquement si elles peuvent vérifier avec succès le certificat sur le serveur.
Pour ces applications, vous devez mettre à jour les magasins d'approbations des applications clientes afin d'inclure les nouveaux certificats de l'autorité de certification.
Une fois que vous avez mis à jour les certificats de l'autorité de certification dans les magasins d'approbations des applications clientes, vous pouvez soumettre les certificats de vos instances de bases de données à une rotation. Nous vous recommandons vivement de tester ces procédures dans un environnement de développement ou intermédiaire avant de les implémenter dans vos environnements de production.
Pour de plus amples informations sur la rotation de certificats, veuillez consulter Rotation de votre TLS certificatSSL/. Pour en savoir plus sur le téléchargement de certificats, consultez . Pour plus d'informations sur l'utilisation deSSL/TLSavec les instances de base de données Microsoft SQL Server, consultezUtilisation SSL avec une instance de base de données Microsoft SQL Server.
Rubriques
Déterminer si des applications se connectent à votre instance de base de données Microsoft SQL Server à l'aide de SSL
Dans la configuration de l'instance de base de données, vérifiez la valeur du paramètre rds.force_ssl
. Par défaut, le paramètre rds.force_ssl
a pour valeur 0 (désactivé). Si le rds.force_ssl
paramètre est défini sur 1 (activé), les clients doivent utiliserSSL/TLSpour les connexions. Pour plus d'informations sur les groupes de paramètres, consultez Groupes de paramètres pour (Amazon RDS).
Exécutez la requête suivante afin d'obtenir l'option de chiffrement actuelle pour toutes les connexion ouvertes à une instance de base de données. La colonne ENCRYPT_OPTION
renvoie TRUE
si la connexion est chiffrée.
select SESSION_ID, ENCRYPT_OPTION, NET_TRANSPORT, AUTH_SCHEME from SYS.DM_EXEC_CONNECTIONS
Cette requête affiche uniquement les connexions actuelles. Il n'indique pas si les applications qui se sont connectées et déconnectées par le passé ont utiliséSSL.
Contrôle de la nécessité d'une vérification du certificat du client pour qu'il puisse se connecter
Vous pouvez vérifier si différents types de clients requièrent une vérification du certificat pour pouvoir se connecter.
Note
Si vous utilisez des connecteurs autres que ceux répertoriés, veuillez consulter la documentation spécifique au connecteur pour des informations sur leur façon d'appliquer des connexions chiffrées. Pour plus d'informations, consultez la section Modules de connexion pour les SQL bases de données Microsoft
SQLStudio de gestion de serveurs
Vérifiez si le chiffrement est appliqué pour les connexions à SQL Server Management Studio :
-
Lancez SQL Server Management Studio.
-
Pour Connect to server (Se connecter au serveur), entrez les informations de serveur, le mot de passe et le nom d'utilisateur de connexion.
-
Choisissez Options.
-
Vérifiez si Encrypt connection (Chiffrer la connexion) est sélectionné sur la page de connexion.
Pour plus d'informations sur SQL Server Management Studio, voir Utiliser SQL Server Management Studio
sqlcmd
L'exemple suivant avec le sqlcmd
client montre comment vérifier la connexion au SQL serveur d'un script afin de déterminer si les connexions réussies nécessitent un certificat valide. Pour plus d'informations, consultez la section Connexion avec sqlcmd dans la documentation
Lors de l'utilisationsqlcmd
, une SSL connexion doit être vérifiée par rapport au certificat du serveur si vous utilisez l'argument de -N
commande pour chiffrer les connexions, comme dans l'exemple suivant.
$ sqlcmd -N -S dbinstance.rds.amazon.com -d ExampleDB
Note
Si sqlcmd
est invoqué avec l'option -C
, il approuve le certificat de serveur, même s'il ne correspond pas au magasin d'approbations côté client.
ADO.NET
Dans l'exemple suivant, l'application se connecte à l'aide deSSL, et le certificat du serveur doit être vérifié.
using SQLC = Microsoft.Data.SqlClient; ... static public void Main() { using (var connection = new SQLC.SqlConnection( "Server=tcp:dbinstance.rds.amazon.com;" + "Database=ExampleDB;User ID=LOGIN_NAME;" + "Password=YOUR_PASSWORD;" + "Encrypt=True;TrustServerCertificate=False;" )) { connection.Open(); ... }
Java
Dans l'exemple suivant, l'application se connecte à l'aide deSSL, et le certificat du serveur doit être vérifié.
String connectionUrl = "jdbc:sqlserver://dbinstance.rds.amazon.com;" + "databaseName=ExampleDB;integratedSecurity=true;" + "encrypt=true;trustServerCertificate=false";
Pour activer SSL le chiffrement pour les clients qui se connectent viaJDBC, vous devrez peut-être ajouter le RDS certificat Amazon au magasin de certificats Java CA. Pour obtenir des instructions, consultez la section Configuration du client pour le chiffrementtrustStore=
à la chaîne de connexion.path-to-certificate-trust-store-file
Note
Si vous utilisez TrustServerCertificate=true
(ou son équivalent) dans la chaîne de connexion, le processus de connexion ignore la validation de la chaîne d'approbation. Dans ce cas, l'application se connecte, même lorsque le certificat ne peut pas être vérifié. Utiliser TrustServerCertificate=false
applique la validation du certificat, en plus d'être une bonne pratique.
Mise à jour du magasin d'approbations de votre application
Vous pouvez mettre à jour le Trust Store pour les applications qui utilisent Microsoft SQL Server. Pour obtenir des instructions, consultez Chiffrement de connexions spécifiques. Consultez également la section Configuration du client pour le chiffrement
Si vous utilisez un système d'exploitation autre que Microsoft Windows, consultez la documentation de distribution logicielle pourSSL/TLSimplementation pour plus d'informations sur l'ajout d'un nouveau certificat d'autorité de certification racine. Par exemple, Open SSL et Gnu TLS sont des options populaires. Utilisez la méthode d'implémentation pour renforcer la confiance au certificat de l'autorité de certification RDS racine. Microsoft fournit des instructions afin de configurer des certificats sur certains systèmes.
Pour plus d'informations sur le téléchargement du certificat racine, consultez .
Pour obtenir des exemples de scripts qui importent des certificats, consultez Exemple de script pour importer les certificats dans votre magasin d'approbations.
Note
Lors de la mise à jour du magasin d'approbations, vous pouvez conserver les certificats plus anciens en complément de l'ajout des nouveaux certificats.