實(shí)現(xiàn)客戶端和SQL Server的加密連接

對(duì)客戶端到SQL Server服務(wù)器之間的連接進(jìn)行加密，一般來說有兩種方法，一種是使用IPSec策略進(jìn)行加密，一種是使用證書加密。對(duì)于前者來說，其工作在網(wǎng)絡(luò)層，無論應(yīng)用層如何封裝，都可以使用IPSec在網(wǎng)絡(luò)層對(duì)其加密，其適用性很廣泛，其不足之處在于要求服務(wù)器和客戶端雙方都要進(jìn)行加密配置。才可以加密傳輸數(shù)據(jù)。在服務(wù)器端執(zhí)行“mmc”命令，在控制臺(tái)上點(diǎn)擊菜單“文件”、“添加/刪除管理單元”項(xiàng)，在打開窗口左側(cè)列表中選擇“IP安全策略管理”和“IP安全監(jiān)視器”項(xiàng)，點(diǎn)擊“添加”按鈕，將其添加進(jìn)來。

圖1 創(chuàng)建IPSec安全策略

在控制臺(tái)左側(cè)選擇“IP安全策略”項(xiàng)，在其右鍵菜單上點(diǎn)擊“創(chuàng)建IP安全策略”項(xiàng)，在向?qū)Ы缑嬷休斎氩呗悦Q，點(diǎn)擊“完成”按鈕，創(chuàng)建該規(guī)則。在自動(dòng)打開的規(guī)則屬性窗口中點(diǎn)擊“添加”按鈕，在向?qū)Ы缑嬷羞x擇“此規(guī)則不指定隧道”項(xiàng)，點(diǎn)擊“下一步”按鈕，選擇“所有網(wǎng)絡(luò)連接”項(xiàng)。在IP篩選器列表窗口中點(diǎn)擊“添加”按鈕，輸入篩選器名稱，點(diǎn)擊“添加”按鈕，在彈出窗口中輸入描述信息，在下一步的IP流量源窗口選擇“任何IP地址”項(xiàng)，在“IP流量目標(biāo)”窗口中選擇“我的IP地址”項(xiàng)，之后選擇“TCP”協(xié)議，在IP協(xié)議端口窗口（如圖1）中選擇“從任意端口”項(xiàng)和“到此端口”項(xiàng)，輸入默認(rèn)的1433端口。具體的端口可能會(huì)產(chǎn)生變化，需要在SQL Server配置管理器左側(cè)選擇“SQL Server網(wǎng)絡(luò)配置”、“具體的實(shí)例名”項(xiàng)，在右側(cè)的“TCP/IP”項(xiàng)的屬性窗口中查看實(shí)際的端口號(hào)。點(diǎn)擊“完成”按鈕，在IP篩選器列表中選擇該篩選器，點(diǎn)擊“確定”，在篩選器操作窗口中點(diǎn)擊“添加”按鈕，輸入名稱，在下一步窗口中選擇“協(xié)商安全”項(xiàng)，在身份驗(yàn)證方法窗口中提供了多種驗(yàn)證方式，這里選擇“使用此字符串保護(hù)密鑰交換”項(xiàng)，輸入密碼。點(diǎn)擊“完成”按鈕，創(chuàng)建所需的IPSec規(guī)則。在該規(guī)則的右鍵菜單上點(diǎn)擊“分配”項(xiàng)激活該規(guī)則。在客戶端執(zhí)行同樣操作來創(chuàng)建和激活對(duì)應(yīng)的IPSec策略，所不同的是在IP流量源窗口中選擇“我的IP地址”項(xiàng)，在IP流量目標(biāo)窗口中選擇“一個(gè)特定的IP地址或子網(wǎng)”項(xiàng)，輸入SQL Server服務(wù)器的IP地址。注意，雙方身份驗(yàn)證方式必須一致，密碼必須相同。如圖2所示。

這樣，當(dāng)客戶端連接SQL Server服務(wù)器時(shí)，就處于加密狀態(tài)，當(dāng)然，因?yàn)殡p方存在協(xié)商的過程，所以連接登錄時(shí)有遲緩。不過，在實(shí)際使用時(shí)，因?yàn)镮PSec策略需要在服務(wù)器和客戶端都需要配置策略參數(shù)，操作起來較繁瑣，所以一般使用證書實(shí)現(xiàn)SSL加密連接的。當(dāng)然，這需要證書服務(wù)的支持。例如，SQL Server服務(wù)器位于域環(huán)境中，在DC上配置好Active Directory證書服務(wù)，在SQL Server服務(wù)器上執(zhí)行“mmc”命令，點(diǎn)擊菜單“文件”、“添加/刪除管理單元”項(xiàng)，在列表中選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)完成添加。

圖2 查看SQL Server連接端口

圖3 啟用SQL Server加密連接

在控制臺(tái)左側(cè)選擇“證書”、“個(gè)人”項(xiàng)，在其右鍵菜單上點(diǎn)擊“所有任務(wù)”、“申請新證書”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory注冊策略”項(xiàng)，點(diǎn)擊“下一步”按鈕，選擇“計(jì)算機(jī)”項(xiàng)，點(diǎn)擊“注冊”完成證書申請。如果購買了第三方證書，只需點(diǎn)擊“所有任務(wù)”、“導(dǎo)入”項(xiàng)導(dǎo)入即可。之后運(yùn)行SQL Server配置管理器，在窗口左側(cè)選擇“SQL Server網(wǎng)絡(luò)配置”、“MSSQLSERVER的協(xié)議”項(xiàng)，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中的“標(biāo)志”面板中的“強(qiáng)制加密”欄中選擇“是”項(xiàng)，在“證書”面板中的選擇上述申請的證書，點(diǎn)擊確定。之后需要重啟SQL Server服務(wù)。當(dāng)客戶端進(jìn)行連接時(shí)，在登錄窗口中點(diǎn)擊“選項(xiàng)”按鈕，在“連接屬性”面板（如圖3）中選擇“加密連接”項(xiàng)。在“登錄”面板中的“服務(wù)器名稱”欄中必須輸入與證書綁定的域名，而非SQL Server的IP地址。這樣，在客戶端和服務(wù)器之間就可以加密傳輸數(shù)據(jù)了。