Récapitulatif du chiffrement de SQL Server et des clients
Cet article est un récapitulatif des différents scénarios et des procédures associées pour activer le chiffrement pour SQL Server ainsi que de la façon de vérifier que le chiffrement fonctionne.
Chiffrer toutes les connexions au serveur (chiffrement côté serveur)
| Type de certificat | Forcer le chiffrement dans les propriétés du serveur | Importer un certificat de serveur sur chaque client | Paramètre Faire confiance au certificat de serveur | Propriété de chiffrement dans la chaîne de connexion | Commentaires |
|---|---|---|---|---|---|
| Certificat auto-signé créé automatiquement par SQL Server | Oui | Impossible | Oui | Ignoré | SQL Server 2016 (13.x) et antérieur utilisent l’algorithme SHA1. SQL Server 2017 (14.x) et ultérieur utilisent SHA256. Pour plus d’informations, consultezModifications apportées à l’algorithme de hachage pour le certificat auto-signé dans SQL Server 2017. Nous ne recommandons pas cette approche pour une utilisation en production. |
| Certificat auto-signé créé en utilisant New-SelfSignedCertificate ou makecert - Option 1 | Oui | Non | Oui | Ignoré | Nous ne recommandons pas cette approche pour une utilisation en production. |
| Certificat auto-signé créé en utilisant New-SelfSignedCertificate ou makecert - Option 2 | Oui | Oui | Facultatif | Ignoré | Nous ne recommandons pas cette approche pour une utilisation en production. |
| Serveur de certificats de l’entreprise ou d’une autorité de certification qui ne se trouve pas dans la Liste des participants - Programme de certificat racine de confiance Microsoft - Option 1 | Oui | Non | Oui | Ignoré | |
| Serveur de certificats de l’entreprise ou d’une autorité de certification qui ne se trouve pas dans la Liste des participants - Programme de certification racine de confiance Microsoft - Option 2 | Oui | Oui | Facultatif | Ignoré | |
| Autorités racines de confiance | Oui | Non | Facultatif | Ignoré | Nous recommandons cette approche. |
Chiffrer les connexions depuis un client spécifique
| Type de certificat | Forcer le chiffrement dans les propriétés du serveur | Importer un certificat de serveur sur chaque client | Spécifier le paramètre Faire confiance au certificat de serveur sur le client | Spécifier manuellement la propriété de chiffrement sur Yes/True côté client | Commentaires |
|---|---|---|---|---|---|
| Certificat auto-signé créé automatiquement par SQL Server | Oui | Impossible | Oui | Ignoré | SQL Server 2016 (13.x) et antérieur utilisent l’algorithme SHA1. SQL Server 2017 (14.x) et ultérieur utilisent SHA256. Pour plus d’informations, consultezModifications apportées à l’algorithme de hachage pour le certificat auto-signé dans SQL Server 2017. Nous ne recommandons pas cette approche pour une utilisation en production. |
| Certificat auto-signé créé en utilisant New-SelfSignedCertificate ou makecert - Option 1 | Non | Non | Oui | Oui | Nous ne recommandons pas cette approche pour une utilisation en production. |
| Certificat auto-signé créé en utilisant New-SelfSignedCertificate ou makecert - Option 2 | Non | Oui | Facultatif | Oui | Nous ne recommandons pas cette approche pour une utilisation en production. |
| Serveur de certificats de l’entreprise ou d’une autorité de certification qui ne se trouve pas dans la Liste des participants - Programme de certification racine de confiance Microsoft - Option 1 | Non | Non | Oui | Oui | |
| Serveur de certificats de l’entreprise ou d’une autorité de certification qui ne se trouve pas dans la Liste des participants - Programme de certification racine de confiance Microsoft - Option 2 | Non | Oui | Facultatif | Oui | |
| Autorités racines de confiance | Non | Non | Facultatif | Oui | Nous recommandons cette approche. |
Comment savoir si le chiffrement fonctionne ?
Vous pouvez superviser la communication en utilisant un outil comme Moniteur réseau Microsoft ou un renifleur réseau, et examiner les détails des paquets capturés dans l’outil pour vérifier que le trafic est chiffré.
Vous pouvez aussi vérifier l’état de chiffrement des connexions SQL Server en utilisant les commandes Transact-SQL (T-SQL). Pour ce faire, effectuez les étapes suivantes :
- Ouvrez une nouvelle fenêtre de requête dans SQL Server Management Studio (SSMS) et connectez-vous à l’instance SQL Server.
- Exécutez la commande T-SQL suivante pour vérifier la valeur de la colonne
encrypt_option. Pour les connexions chiffrées, la valeur seraTRUE.
SELECT * FROM sys.dm_exec_connections