Condividi tramite

Connessione a SQL Server con crittografia strict

Si applica a: SQL Server 2022 (16.x)

La crittografia della connessione strict applica procedure di sicurezza consigliate e rende il traffico di SQL Server gestibile da appliance di rete standard.

Questo articolo illustra come connettersi a SQL Server 2022 (16.x) e versioni successive usando il tipo di connessione strict.

Prerequisito

Connessione a SQL Server tramite un'applicazione .NET

Per informazioni sulla generazione e la connessione a SQL Server tramite il tipo di crittografia strict, vedere Sintassi della stringa di connessione per la generazione corretta della stringa di connessione. Per altre informazioni sulle nuove proprietà della stringa di connessione, vedere Modifiche aggiuntive alle proprietà della crittografia della stringa di connessione.

Connessione tramite un DSN ODBC

È possibile testare una connessione con il tipo di crittografia della connessione Strict usando un DSN ODBC per SQL Server.

  1. Cercare l'app Origini dati ODBC in Windows.

    Screenshot dell'app origini dati O D B C.

  2. Accerarsi che il driver ODBC sia quello più recente cercando nella scheda Driver dell'amministratore dell’origine dati ODBC.

    Screenshot dei driver disponibili.

  3. Nella scheda DSN di sistema, selezionare Aggiungi per creare un DSN. Selezionare, quindi, il Driver ODBC 18 per SQL Server. Selezionare Fine. Verrà usato per testare la connessione.

  4. Nella finestra Crea una nuova origine dati per SQL Server, specificare un nome per questa origine dati e aggiungere il nome del server di SQL Server 2022 (16.x) a Server. Selezionare Avanti.

    Screenshot della creazione di un'origine dati con il driver O D B C.

  5. Usare tutti i valori predefiniti per tutte le impostazioni fino alla schermata Crittografia connessione. Selezionare Strict. Se il nome del server inserito è diverso da quello nel certificato o se viene usato l'indirizzo IP, impostare Nome host nel certificato su quello usato nel certificato. Selezionare Fine.

    Screenshot che mostra il tipo di crittografia strict.

  6. Quando viene visualizzata la finestra di dialogo Installazione di Microsoft SQL Server ODBC, selezionare il pulsante Origine dati di test… per testare la connessione. Questa operazione deve applicare la connessione strict a SQL Server per questo test.

È possibile testare la connessione a SQL Server anche con la crittografia strict usando il driver OLE DB con Universal Data Link (UDL).

  1. Per creare un file UDL per testare la connessione, fare clic con il pulsante destro del mouse sul desktop e selezionare Nuovo>Documento di testo. Sarà necessario modificare l'estensione del file da txt a udl. Al file è possibile assegnare un nome qualunque.

    Nota

    Sarà necessario poter visualizzare il nome dell'estensione per modificare l'estensione da txt a udl. Se non è possibile visualizzare l'estensione, è possibile abilitare la visualizzazione dell'estensione aprendo Esplora file>Visualizza>Mostra>Estensioni nome file.

  2. Aprire il file UDL creato e accedere alla scheda Provider per selezionare il Driver OLE DB di Microsoft 19 per SQL Server. Selezionare Avanti>>.

    Screenshot della schermata del provider U D L.

  3. Nella scheda Connessione, inserire il nome del server di SQL Server e selezionare il metodo di autenticazione usato per accedere a SQL Server.

    Screenshot della schermata di connessione U D L.

  4. Nella scheda Avanzate, selezionare Strict per la Crittografia di connessione. Se il nome del server inserito è diverso da quello nel certificato o se viene usato l'indirizzo IP, impostare il Nome host nel certificato su quello usato nel certificato. Al termine, tornare alla scheda Connessione.

    Screenshot della schermata avanzata U D L.

  5. Selezionare Connessione di test per testare la connessione con la crittografia di connessione strict.

    Screenshot della schermata di connessione U D L e test della connessione.

Connettersi con SSMS

A partire dalla versione 20, è possibile applicare la crittografia rigorosa in SQL Server Management Studio (SSMS) nella scheda Account di accesso della finestra di dialogo Connetti al server :

Screenshot della finestra di dialogo Connetti al server in SQL Server Management Studio.

Connettersi a un gruppo di disponibilità AlwaysOn

A partire da SQL Server 2025 (17.x), è possibile crittografare la comunicazione tra il cluster di failover di Windows Server e una replica del gruppo di disponibilità Always On usando il tipo di crittografia della connessione Strict o Mandatory. Il gruppo di disponibilità può applicare la crittografia solo se si basa su un cluster di failover di Windows Server. Altri tipi di gruppi di disponibilità non supportano la crittografia rigorosa.

I passaggi variano a seconda che la disponibilità esista o meno.

Per forzare la crittografia rigorosa in un nuovo gruppo di disponibilità, seguire questa procedura:

  1. Se non è già stato fatto, importare il certificato TLS in ogni replica del gruppo di disponibilità, come definito dai requisiti del certificato. Riavviare ogni istanza di SQL Server dopo l'importazione del certificato.
  2. Testare le connessioni a ogni replica di SQL Server usando uno dei metodi indicati in questo articolo che applica la crittografia.
  3. CREATE AVAILABILITY GROUP con la Encrypt proprietà impostata Strict su nella CLUSTER_CONNECTION_OPTIONS clausola per il gruppo di disponibilità. In questo modo tutte le connessioni al gruppo di disponibilità usano il tipo di crittografia specificato.
  4. Se il gruppo di disponibilità è attualmente online, eseguire il failover del gruppo di disponibilità in una replica secondaria per applicare le nuove impostazioni di crittografia al gruppo di disponibilità. Se il gruppo di disponibilità non riesce a essere online, potrebbe non essere ClusterConnectionOptions impostato correttamente. Controllare la presenza di errori ODBC relativi al cluster che non riescono a connettersi alla replica di SQL Server cluster.log. Facoltativamente, è possibile eseguire il failback del gruppo di disponibilità alla replica primaria originale dopo che la nuova replica secondaria è online e connessa al gruppo di disponibilità.
  5. (Facoltativo) È possibile applicare ulteriormente la crittografia impostando l'opzione Force Strict Encryption su Yes nelle proprietà di Gestione configurazione SQL Server per il protocollo di connessione per ogni replica. Questa impostazione garantisce che tutte le connessioni alle repliche del gruppo di disponibilità usino una crittografia rigorosa. Riavviare ogni replica di SQL Server dopo aver modificato questa impostazione.

Connettersi a un'istanza del cluster di failover

A partire da SQL Server 2025 (17.x), è possibile crittografare la comunicazione tra il cluster di failover di Windows Server e un'istanza del cluster di failover Always On utilizzando il tipo di crittografia della connessione Strict oppure Mandatory. Per fare questo, segui questi passaggi:

  1. Se non è già stato fatto, importare il certificato TLS in ogni nodo del cluster di failover, come definito dai requisiti del certificato. Riavviare l'istanza di SQL Server dopo l'importazione del certificato.
  2. Testare le connessioni all'istanza del cluster di failover usando uno dei metodi indicati in questo articolo che applica la crittografia.
  3. ALTER SERVER CONFIGURATION con la CLUSTER_CONNECTION_OPTIONS clausola per impostare la Encrypt proprietà su Mandatory o Strict. In questo modo tutte le connessioni all'istanza del cluster di failover usano il tipo di crittografia specificato.
  4. Eseguire il failover dell'istanza in un nodo secondario per applicare le nuove impostazioni di crittografia all'istanza del cluster di failover. Se l'istanza del cluster di failover non riesce a essere online, potrebbe non essere ClusterConnectionOptions impostata correttamente. Controllare la presenza di errori ODBC relativi al cluster che non riesce a connettersi all'istanza di SQL Server cluster.log. Facoltativamente, è possibile eseguire il failback dell'istanza nel nodo primario originale dopo che il nuovo nodo secondario è online e connesso all'istanza del cluster di failover.
  5. (Facoltativo) È possibile applicare ulteriormente la crittografia impostando l'opzione Force Strict Encryption su Yes nelle proprietà di Gestione configurazione SQL Server per il protocollo di connessione per ogni nodo del cluster. Questa impostazione garantisce che tutte le connessioni all'istanza del cluster di failover usino una crittografia rigorosa. Apportare questa modifica al nodo secondario, eseguire il failover dell'istanza e quindi apportare la modifica nel nodo primario.

Forzare la crittografia rigorosa con Gestione configurazione SQL Server

È possibile applicare la crittografia rigorosa usando Gestione configurazione SQL Server a partire da SQL Server 2022 (16.x). A tale scopo, seguire questa procedura:

  1. Aprire Gestione configurazione SQL Server.

  2. Nel riquadro sinistro espandere Configurazione di rete di SQL Server e selezionare Protocolli per [InstanceName].

  3. Fare clic con il pulsante destro del mouse su TCP/IP e scegliere Proprietà.

  4. Nella finestra di dialogo Proprietà TCP/IP passare alla scheda Flag e quindi selezionare per l'opzione Forza crittografia strict :

    Screenshot dell'opzione Force Strict Encryption in Gestione configurazione SQL Server.

  5. Riavviare l'istanza di SQL Server durante una finestra di manutenzione per applicare le modifiche.

Osservazioni:

Se viene visualizzato SSL certificate validation failed, accertarsi che:

  • Il certificato del server sia valido nel computer usato per il test
  • Si verifichi almeno una delle situazioni seguenti:
    • Il SQL Server del provider corrisponde al nome dell’autorità di certificazione o a uno dei nomi DNS nel certificato.
    • La proprietà della stringa di connessione HostNameInCertificate corrisponde al nome dell’autorità di certificazione o a uno dei nomi DNS nel certificato.

Contenuti correlati

  • Last updated on