Создание доверенного сертификата для подключения к БД
Сертификат можно сгенерировать любым удобным способом.
-
Название сертификата должно быть равно полному имени сервера равный DNS имени сервера.
-
В качестве цели использования необходимо указывать "Серверная аутентификация".
Создание сертификата с помощью OpenSSL
Ниже приведён пример создания сертификата с использованием утилиты OpenSSL.
-
Создайте сертификат следующей командой:
openssl req -x509 -newkey rsa:4096 -sha256 -keyout .\out\authservice.key -out .\out\authservice.crt -subj "/CN=http://docsvision.com" -days 600
Где
.\out\authservice
— место сохранения сертификата.В процессе создания сертификата будет предложено задать пароль для сертификата.
-
Экспортируйте сертификат, выполнив следующую команду:
openssl pkcs12 -export -name "http://webservice.com" -out .\out\authservice.pfx -inkey .\out\authservice.key -in .\out\authservice.crt
В
c:\out\authservice
укажите путь для сохранения сертификата. Также заменитеname
на имя сервера Microsoft SQL.Утилита запросит пароль на сертификат и на файл
.pfx
. -
Импортируйте сертификат на сервере с Microsoft SQL и поместите его в Личное хранилище.
Рисунок 1. Сертификат в личном хранилище -
Запустите Диспетчер конфигурации SQL Server. В категории сетевая конфигурация SQL Server найдите раздел Протоколы для "имя-сервера".
-
В свойствах раздела Протоколы для "имя-сервера" выберите вкладку Сертификат и укажите импортированный сертификат.
-
Перейдите на вкладку Флаги и отметьте флаг ForceEncryption в значение Да.
-
Чтобы настройки применились, перезапустите службу экземпляра сервера Microsoft SQL.