적용 대상:
Microsoft Fabric의 SQL Server 2022(16.x) 이상 버전 Azure SQL DatabaseAzure SQL Managed InstanceSQL 데이터베이스
SQL Server(SQL Server 2022(16.x)부터), Azure SQL Database 및 Azure SQL Managed Instance는 TDS(테이블 형식 데이터 스트림) 8.0을 사용하는 경우 TLS(전송 계층 보안) 1.3을 지원합니다.
Important
TDS 연결에 대한 TLS 1.3 지원이 있더라도 SQL Server 위성 서비스를 시작하기 위해서는 여전히 TLS 1.2가 필요합니다. 컴퓨터에서 TLS 1.2 사용 중지를 설정하지 마세요.
SQL Server 2019(15.x) 및 이전 버전은 TLS 1.3을 지원하지 않습니다.
TLS 1.2와 TLS 1.3의 차이점
TLS 1.3은 핸드셰이크 단계에서 왕복을 2번에서 1번으로 줄여 TLS 1.2보다 빠르고 안전합니다. 서버 인증서를 포함하여 서버 hello 패킷이 암호화되고 1-RTT(왕복 시간) 다시 시작이 사용 중단되고, 클라이언트 키 공유에 따라 0-RTT 다시 시작으로 대체됩니다. TLS 1.3이라는 추가 보안은 특정 암호 및 알고리즘 사용 중단에 따른 것입니다.
TLS 1.3에서 제거된 알고리즘 및 암호화 목록은 다음과 같습니다.
- RC4 스트림 암호화
- RSA 키 교환
- SHA-1 해시 함수
- CBC(블록) 모드 암호화
- MD5 알고리즘
- 다양한 비공개 Diffie-Hellman 그룹
- EXPORT-strength 암호화
- DES
- 3DES
드라이버 지원
드라이버 기능 지원 매트릭스를 검토하여 현재 TLS 1.3을 지원하는 드라이버를 확인합니다.
운영 체제 지원
현재 TLS 1.3를 지원하는 운영 시스템은 다음과 같습니다.
SQL Server 2025 지원
SQL Server 2025(17.x)는 다음 기능에 대한 TLS 1.3 지원을 도입했습니다.
- SQL Server 에이전트
- Always On 가용성 그룹
- Always On FCI(장애 조치(failover) 클러스터 인스턴스)
- 연결된 서버
- 트랜잭션 복제
- 병합 복제
- 스냅샷 복제
- 로그 전달
설정 제한 사항
TLS 1.3이 운영 체제에서 사용하도록 설정된 유일한 TLS 버전인 경우 SQL Server 2025 설치가 실패합니다. 설치 프로세스에서는 설치 중에 TLS 1.2를 사용할 수 있어야 합니다. 설치가 완료되면 원하는 경우 TLS 1.2를 사용하지 않도록 설정할 수 있습니다.
설치하는 동안 오류 메시지는 다음과 같습니다. A connection was successfully established with the server, but then an error occurred during the login process. (provider: SSL Provider, error: 0 - No process is on the other end of the pipe.)
인증서 요구 사항
SQL Server 2025에서 TDS 8.0을 사용하는 경우 특정 인증서 요구 사항을 충족해야 합니다.
- 신뢰할 수 있는 인증서: 신뢰할 수 있는 CA(인증 기관)에서 인증서를 발급해야 합니다. 자체 서명된 인증서는 Microsoft OLE DB Driver for SQL Server 버전 19에서 기본적으로 더 이상 허용되지 않습니다.
-
인증서 유효성 검사:
TrustServerCertificateFalse또는No로 설정해야 합니다. Microsoft OLE DB Driver for SQL Server 버전 19는 인증서의 신뢰 체인의 유효성을 검사하고 인증서 유효성 검사를 무시할 수 없습니다. - SAN(주체 대체 이름) 요구 사항: 인증서는 SAN 목록에 FQDN(정규화된 도메인 이름)과 Netbios 이름을 모두 포함해야 합니다. SSMS(SQL Server Management Studio)는 연결할 때 Netbios 이름을 자주 사용하며, 누락된 항목으로 인해 유효성 검사 오류가 발생합니다.
- SAN 항목 계획: 인증서 발급 중에 가능한 모든 클라이언트 연결 이름(FQDN, Netbios 이름, 서비스 별칭)을 포함합니다. 나중에 이름을 추가하려면 새 인증서를 만들고 SQL Server 인스턴스를 다시 시작해야 합니다.
인증서 유효성 검사에 대한 자세한 내용은 암호화 및 인증서 유효성 검사 - SQL Server용 OLE DB 드라이버를 참조하세요.
SQL Server 2025의 기본 보안 구성
SQL Server 2025에는 기본적으로 암호화가 사용하도록 설정된 TDS 8.0을 사용하는 여러 기능에 대한 기본 보안 구성이 도입되었습니다.
SQL Server 에이전트: Microsoft OLE DB Driver for SQL Server 버전 19를
Encrypt=Mandatory사용하며 유효한 서버 인증서가TrustServerCertificate=False필요합니다. TLS 버전으로 TLS 1.3만 활성화된 경우,Encrypt=Strict(강제 암호화)로 구성해야 합니다.Always On 가용성 그룹 및 FCI: 기본적으로 ODBC Driver for SQL Server 버전 18을
Encrypt=Mandatory사용합니다. 다른 기능과 달리 Always On 가용성 그룹 및 FCI는 자체 서명된 시나리오를 허용TrustServerCertificate=True합니다.연결된 서버: 기본적으로 MICROSOFT OLE DB Driver for SQL Server 버전 19를
Encrypt=Mandatory사용합니다. 다른 SQL Server 인스턴스를 대상으로 지정할 때는 연결 문자열에 암호화 매개 변수를 지정해야 합니다.로그 전달: MICROSOFT OLE DB Driver for SQL Server 버전 19를
Encrypt=Mandatory사용하며 유효한 서버 인증서가 필요합니다. 최신 보안 구성을 지원하지 않는 하위 버전에서 현재 위치 업그레이드를 수행하는 경우 암호화 설정이 더 안전한 옵션으로 명시적으로 재정의되지 않는 경우 로그 전달을 사용하여TrustServerCertificate=True이전 버전과의 호환성을 허용합니다. 업그레이드 후 TLS 1.3 및Encrypt=StrictTDS 8.0을 적용하려면 로그 전달 저장 프로시저에서 업데이트된 매개 변수를 사용하여 토폴로지를 삭제하고 다시 만듭니다.복제: (트랜잭션, 스냅샷, 병합) Microsoft OLE DB Driver for SQL Server 버전 19를
Encrypt=Mandatory사용하며 유효한 인증서가TrustServerCertificate=False필요합니다.PolyBase: ODBC Driver for SQL Server 버전 18을
Encrypt=Yes(Mandatory)과 함께 사용합니다. PolyBase를TrustServerCertificate=True사용하면 자체 서명된 시나리오를 사용할 수 있습니다.SQL VSS 기록기: SQL Server 2025 인스턴스에
Encryption=Strict연결할 때 SQL VSS 기록기는 해당 연결의 비 가상 디바이스 인터페이스(VDI) 부분에 TLS 1.3 및 TDS 8.0을 사용합니다.
구성 요소별 요구 사항
TLS 1.3을 사용하는 SQL Server 에이전트: TLS 1.3만 사용하도록 설정된 경우 TDS 8.0(Force Strict Encryption)을 사용해야 합니다. 암호화 설정을
Mandatory낮추면Optional연결 오류가 발생합니다.SQL Server 에이전트 T-SQL 작업: 로컬 인스턴스에 연결하는 SQL Server 에이전트 T-SQL 작업은 SQL Server 에이전트 암호화 설정을 상속합니다.
PowerShell 모듈: SQLPS.exe 및 SQLPS PowerShell 모듈은 현재 TDS 8.0에서 지원되지 않습니다.
Always On 가용성 그룹 및 FCI: TDS 8.0을 통해 엄격한 암호화를 구성하려면
CLUSTER_CONNECTION_OPTIONS절과 사용자 지정된Encrypt=Strict설정을 장애 조치(failover)로 적용합니다.