Mise à jour des applications pour se connecter aux instances de base de données Microsoft SQL Server à l'aide de nouveaux TLS certificatsSSL/ - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour des applications pour se connecter aux instances de base de données Microsoft SQL Server à l'aide de nouveaux TLS certificatsSSL/

Depuis le 13 janvier 2023, Amazon RDS a publié de nouveaux certificats d'autorité de certification (CA) pour la connexion à vos RDS instances de base de données à l'aide de Secure Socket Layer ou de Transport Layer Security (SSL/TLS). Vous trouverez ci-après des informations sur la mise à jour de vos applications afin d'utiliser les nouveaux certificats.

Cette rubrique peut vous aider à déterminer si des applications clientes utilisentSSL/TLSpour se connecter à vos instances de base de données. Si tel est le cas, il vous est alors possible de vérifier si ces applications nécessitent une vérification du certificat pour se connecter.

Note

Certaines applications sont configurées pour se connecter aux instances de base de données SQL du serveur uniquement si elles peuvent vérifier avec succès le certificat sur le serveur.

Pour ces applications, vous devez mettre à jour les magasins d'approbations des applications clientes afin d'inclure les nouveaux certificats de l'autorité de certification.

Une fois que vous avez mis à jour les certificats de l'autorité de certification dans les magasins d'approbations des applications clientes, vous pouvez soumettre les certificats de vos instances de bases de données à une rotation. Nous vous recommandons vivement de tester ces procédures dans un environnement de développement ou intermédiaire avant de les implémenter dans vos environnements de production.

Pour de plus amples informations sur la rotation de certificats, veuillez consulter Rotation de votre TLS certificatSSL/. Pour en savoir plus sur le téléchargement de certificats, consultez . Pour plus d'informations sur l'utilisation deSSL/TLSavec les instances de base de données Microsoft SQL Server, consultezUtilisation SSL avec une instance de base de données Microsoft SQL Server.

Déterminer si des applications se connectent à votre instance de base de données Microsoft SQL Server à l'aide de SSL

Dans la configuration de l'instance de base de données, vérifiez la valeur du paramètre rds.force_ssl. Par défaut, le paramètre rds.force_ssl a pour valeur 0 (désactivé). Si le rds.force_ssl paramètre est défini sur 1 (activé), les clients doivent utiliserSSL/TLSpour les connexions. Pour plus d'informations sur les groupes de paramètres, consultez Groupes de paramètres pour (Amazon RDS).

Exécutez la requête suivante afin d'obtenir l'option de chiffrement actuelle pour toutes les connexion ouvertes à une instance de base de données. La colonne ENCRYPT_OPTION renvoie TRUE si la connexion est chiffrée.

select SESSION_ID, ENCRYPT_OPTION, NET_TRANSPORT, AUTH_SCHEME from SYS.DM_EXEC_CONNECTIONS

Cette requête affiche uniquement les connexions actuelles. Il n'indique pas si les applications qui se sont connectées et déconnectées par le passé ont utiliséSSL.

Contrôle de la nécessité d'une vérification du certificat du client pour qu'il puisse se connecter

Vous pouvez vérifier si différents types de clients requièrent une vérification du certificat pour pouvoir se connecter.

Note

Si vous utilisez des connecteurs autres que ceux répertoriés, veuillez consulter la documentation spécifique au connecteur pour des informations sur leur façon d'appliquer des connexions chiffrées. Pour plus d'informations, consultez la section Modules de connexion pour les SQL bases de données Microsoft dans la documentation Microsoft SQL Server.

SQLStudio de gestion de serveurs

Vérifiez si le chiffrement est appliqué pour les connexions à SQL Server Management Studio :

  1. Lancez SQL Server Management Studio.

  2. Pour Connect to server (Se connecter au serveur), entrez les informations de serveur, le mot de passe et le nom d'utilisateur de connexion.

  3. Choisissez Options.

  4. Vérifiez si Encrypt connection (Chiffrer la connexion) est sélectionné sur la page de connexion.

Pour plus d'informations sur SQL Server Management Studio, voir Utiliser SQL Server Management Studio.

sqlcmd

L'exemple suivant avec le sqlcmd client montre comment vérifier la connexion au SQL serveur d'un script afin de déterminer si les connexions réussies nécessitent un certificat valide. Pour plus d'informations, consultez la section Connexion avec sqlcmd dans la documentation de Microsoft SQL Server.

Lors de l'utilisationsqlcmd, une SSL connexion doit être vérifiée par rapport au certificat du serveur si vous utilisez l'argument de -N commande pour chiffrer les connexions, comme dans l'exemple suivant.

$ sqlcmd -N -S dbinstance.rds.amazon.com -d ExampleDB
Note

Si sqlcmd est invoqué avec l'option -C, il approuve le certificat de serveur, même s'il ne correspond pas au magasin d'approbations côté client.

ADO.NET

Dans l'exemple suivant, l'application se connecte à l'aide deSSL, et le certificat du serveur doit être vérifié.

using SQLC = Microsoft.Data.SqlClient; ... static public void Main() { using (var connection = new SQLC.SqlConnection( "Server=tcp:dbinstance.rds.amazon.com;" + "Database=ExampleDB;User ID=LOGIN_NAME;" + "Password=YOUR_PASSWORD;" + "Encrypt=True;TrustServerCertificate=False;" )) { connection.Open(); ... }

Java

Dans l'exemple suivant, l'application se connecte à l'aide deSSL, et le certificat du serveur doit être vérifié.

String connectionUrl = "jdbc:sqlserver://dbinstance.rds.amazon.com;" + "databaseName=ExampleDB;integratedSecurity=true;" + "encrypt=true;trustServerCertificate=false";

Pour activer SSL le chiffrement pour les clients qui se connectent viaJDBC, vous devrez peut-être ajouter le RDS certificat Amazon au magasin de certificats Java CA. Pour obtenir des instructions, consultez la section Configuration du client pour le chiffrement dans la documentation de Microsoft SQL Server. Vous pouvez également fournir directement le nom du fichier du certificat de l'autorité de certification approuvé en ajoutant trustStore=path-to-certificate-trust-store-file à la chaîne de connexion.

Note

Si vous utilisez TrustServerCertificate=true (ou son équivalent) dans la chaîne de connexion, le processus de connexion ignore la validation de la chaîne d'approbation. Dans ce cas, l'application se connecte, même lorsque le certificat ne peut pas être vérifié. Utiliser TrustServerCertificate=false applique la validation du certificat, en plus d'être une bonne pratique.

Mise à jour du magasin d'approbations de votre application

Vous pouvez mettre à jour le Trust Store pour les applications qui utilisent Microsoft SQL Server. Pour obtenir des instructions, consultez Chiffrement de connexions spécifiques. Consultez également la section Configuration du client pour le chiffrement dans la documentation de Microsoft SQL Server.

Si vous utilisez un système d'exploitation autre que Microsoft Windows, consultez la documentation de distribution logicielle pourSSL/TLSimplementation pour plus d'informations sur l'ajout d'un nouveau certificat d'autorité de certification racine. Par exemple, Open SSL et Gnu TLS sont des options populaires. Utilisez la méthode d'implémentation pour renforcer la confiance au certificat de l'autorité de certification RDS racine. Microsoft fournit des instructions afin de configurer des certificats sur certains systèmes.

Pour plus d'informations sur le téléchargement du certificat racine, consultez .

Pour obtenir des exemples de scripts qui importent des certificats, consultez Exemple de script pour importer les certificats dans votre magasin d'approbations.

Note

Lors de la mise à jour du magasin d'approbations, vous pouvez conserver les certificats plus anciens en complément de l'ajout des nouveaux certificats.