MSSQL - 最佳實踐 - 使用SSL加密連接

author: 風移

摘要

在SQL Server安全系列專題月報分享中，往期我們已經陸續分享了：如何使用對稱密鑰實作SQL Server列加密技術、使用非對稱密鑰實作SQL Server列加密、使用混合密鑰實作SQL Server列加密技術、列加密技術帶來的查詢性能問題以及相應解決方案、行級別安全解決方案、SQL Server 2016 dynamic data masking實作隱私資料列打碼技術、使用證書做資料庫備份加密和SQL Server Always Encrypted這八篇文章，直接點擊以上文章前往查看詳情，本期月報我們分享SQL Server SSL證書連接加密技術，實作網路上傳輸層連接加密，

問題引入

在SQL Server關系型資料庫中，我們可以使用透明資料加密（TDE）、行級別加密(Row-level Security)、資料打碼(Dynamic Data Masking)和備份加密(Backup Encryption)等技術來實作資料庫引擎層的安全，但是，在網路傳輸層，客戶端和服務端之前默認沒有資料加密傳輸保護，因此，為了提高鏈路安全性，我們可以啟用SSL（Secure Sockets Layer）加密，SSL在傳輸層對網路連接進行加密，能提升資料通道的安全性，但同時會增加網路連接回應時間和CPU開銷，

準備作業

為了方便觀察，我們使用Microsoft Network Monitor 3.4（以下簡稱MNM）工具來觀察網路傳輸層事件，如果您已經安裝MNM，請跳過該準備作業部分，
首先，我們從微軟官網下載MNM,根據需要下載對應的版本，我們這里下載64 bit版本，NM34_x64.exe，
接下來，安裝MNM，直接執行NM34_x64.exe，然后按照向導完成安裝，
最后，重啟OS，

啟用SSL證書之前

在啟用SSL證書加密之前，客戶端和SQL Server服務端的網路傳輸層默認沒有加密保護的，我們可以通過如下步驟驗證，
? 創建測驗表
? 新建MNM抓取
? 連接查詢測驗
? MNM中檢查
? 動態視圖查看加密狀態

創建測驗表

為了測驗方便，我們首先創建測驗表CustomerInfo，存入三個客戶敏感資訊，包含客戶名稱和客戶電話號碼，

USE [TestDb]
GO
IF OBJECT_ID('dbo.CustomerInfo', 'U') IS NOT NULL
    DROP TABLE dbo.CustomerInfo
CREATE TABLE dbo.CustomerInfo
(
CustomerId        INT IDENTITY(10000,1)    NOT NULL PRIMARY KEY,
CustomerName    VARCHAR(100)            NOT NULL,
CustomerPhone    CHAR(11)                NOT NULL
);

-- Init Table
INSERT INTO dbo.CustomerInfo 
VALUES ('CustomerA','13402872514')
,('CustomerB','13880674722')
,('CustomerC','13487759293')
GO

新建MNM抓取

打開MNM，點擊New Capture，然后Start，啟動網路層時間抓取，

連接查詢測驗

從客戶端，連接上對應的SQL Server，執行下面的查詢陳述句，以便觀察MNM抓取情況，

USE [TestDb]
GO
SELECT * FROM dbo.CustomerInfo WITH(NOLOCK)

執行結果如下：

MNM中檢查

我們仔細觀察MNM中的事件，發現在客戶機和SQL Server服務端的網路傳輸層，使用的明文傳輸，如下截圖：

從圖中右下角紅色方框中，我們可以清清楚楚的看到了這三個客戶的姓名和對應的手機號碼，我們使用MNM看到資料在網路傳輸層以明文傳送，并未做任何加密，可能會存在資料被竊聽的風險，

動態視圖查看連接狀態

當然，您也可以從SQL Server的連接動態視圖看出，連接并未加密：

從MNM和SQL Server動態視圖我們可以得出相同的結論是：客戶端和SQL Server服務端資料在網路傳輸層默認以明文傳送，并未加密傳輸，可能會存在資料被竊聽的風險，那么，我們可以啟動SSL證書來加密資料傳輸，以達到更為安全的目的，

啟用SSL證書

啟動SSL證書，分為以下幾個部分：
? 證書申請
? 強制所有連接使用SSL
? 加密特定客戶端連接

證書申請

Start –> 輸入：mmc.exe -> File -> Add/Remove Snap-ins -> Certificate -> add -> Computer account -> Next -> Local Computer -> Finish -> OK

展開Certificates -> 右鍵 Personal -> 選擇 All Tasks -> 選擇Request New Certificate -> 點擊 Next -> 選中 Computer -> 點擊Enroll -> 點擊Finish，
右鍵點擊對應證書 -> 選中All Tasks -> 選擇Manage Private Keys… -> 授予 read 權限給本地賬號NT ServiceMSSQLSERVER，

強制所有連接使用SSL

強制所有連接加密

在SQL Server服務器上，Start -> Run -> sqlservermanager13.msc -> 右鍵點擊Protocols for MSSQLSERVER -> Flags中將Force Encryption設定為Yes -> Certificate選項卡中選擇證書 -> OK

重啟SQL Service

強制所有連接設定完畢后，如果想要立即生效，請重啟SQL Service， 
注意：
這里需要特別注意，如果是目前線上正常運行的應用，請慎重測驗后，打開強制所有連接使用SSL，

加密特定客戶端連接

當然，您也可以不用打開強制所有的連接使用SSL，轉而使用加密特定的客戶端連接，這里以SSMS連接工具為例，

客戶端匯入證書

Start -> Run -> 輸入：certmgr.msc -> 右鍵選擇Trusted Root Certification Authorities -> All Tasks -> Import

選擇SQL Server服務端生成的證書檔案

Next -> Finish -> OK

SSMS啟用加密連接

在SSMS連接服務端界面 -> 選擇Options

然后選擇Encrypt connection

然后，參照“連接查詢測驗”中方法進行連接測驗，同樣在連接管理視圖中查看，我們可以看到連接已經加密：

至此，使用SSL證書加密加密客戶端和SQL Server服務端連接的實驗成功，

注意事項

由于使用了SSL證書來加密客戶端和SQL Server服務端連接，在提升資料通信的安全性同時，加密解密操作也會導致網路連接回應時間增加和CPU使用率上升，對業務系統有一定的性能影響，因此，建議您僅在外網鏈路有加密需求的時候啟用SSL加密，內網鏈路相對較安全，一般無需對鏈路加密，

最后總結

本期月報我們分享了如何啟用SSL證書，來加密客戶端和SQL Server服務端連接，提升網路傳輸層通信安全，使得資料在傳輸程序中被加密后，以密文傳送，最大限度保證了鏈路安全，

標籤：SQL Server

上一篇：MsSQL使用加密連接SSL/TLS

下一篇：SQL SERVER查詢資料庫所有表的大小，按照記錄數降序排列