データベース エンジンへの暗号化接続を有効にする方法 (SQL Server 構成マネージャ)

SQL Server 構成マネージャを使用してデータベース エンジンの証明書を指定することにより、SQL Server データベース エンジンのインスタンスへの暗号化接続を有効にできます。サーバー コンピュータには証明書を提供し、クライアント マシンは証明書のルート機関を信頼するように設定する必要があります。

注意

提供は、証明書を Windows にインポートすることでインストールする処理です。

サーバー認証用の証明書が発行されている必要があります。証明書の名前は、コンピュータの完全修飾ドメイン名 (FQDN) である必要があります。

証明書は、コンピュータ上のユーザーにローカルに格納されます。SQL Server で使用するための証明書をインストールするには、SQL Server サービスと同じユーザー アカウントを使用して SQL Server 構成マネージャを実行する必要があります。ただし、LocalSystem、NetworkService、または LocalService でサービスが実行されていて、管理者アカウントを使用している場合を除きます。

クライアントは、サーバーが使用する証明書の所有権を検証できる必要があります。サーバー証明書に署名した証明機関の公開キー証明書をクライアントが持っている場合は、それ以上の構成は必要ありません。Microsoft Windows には、多くの証明機関の公開キー証明書が含まれています。サーバー証明書に署名した公的または私的な証明機関に対する公開キー証明書をクライアントが持っていない場合は、サーバー証明書に署名した証明機関の公開キー証明書をインストールする必要があります。

注意

フェールオーバー クラスタで暗号化を使用する場合、フェールオーバー クラスタ内のすべてのノードに対して、仮想サーバーの完全修飾 DNS 名を使用してサーバー証明書をインストールする必要があります。たとえば、test1.<your company>.com および test2.<your company>.com というノードと、virtsql という仮想サーバーを持つ 2 ノードのクラスタがあるとします。この場合、virtsql.<your company>.com の証明書を両方のノードにインストールする必要があります。[ForceEncryption]オプション値を [はい] に設定できます。

サーバーに証明書を提供 (インストール) するには

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「MMC」と入力し、[OK] をクリックします。

  2. MMC コンソールの [コンソール] メニューで、[スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。

  4. [スタンドアロン スナップインの追加] ダイアログ ボックスで [証明書] をクリックし、次に [追加] をクリックします。

  5. [証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[完了] をクリックします。

  6. [スタンドアロン スナップインの追加] ダイアログ ボックスで [閉じる] をクリックします。

  7. [スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。

  8. [証明書] スナップインで、[証明書][個人] の順に展開し、[証明書] を右クリックします。次に [すべてのタスク] をポイントし、[インポート] をクリックします。

  9. [証明書のインポート ウィザード] を完了して証明書をコンピュータに追加し、MMC コンソールを閉じます。コンピュータへの証明書の追加の詳細については、Windows のマニュアルを参照してください。

サーバー証明書をエクスポートするには

  1. [証明書] スナップインで、[証明書][個人] フォルダで証明書を探し、[証明書] を右クリックします。次に [すべてのタスク] をポイントし、[エクスポート] をクリックします。

  2. 証明書のエクスポート ウィザードを実行して、証明書ファイルを使いやすい場所に格納します。

暗号化された接続を許可するサーバーを構成するには

  1. SQL Server 構成マネージャで、[SQL Server ネットワークの構成] を展開し、[<server instance> のプロトコル] を右クリックします。次に**[プロパティ]** をクリックします。

  2. [<インスタンス名> のプロトコルのプロパティ] ダイアログ ボックスの [証明書] タブで、[証明書] ボックスのドロップダウンから必要な証明書を選択し、次に [OK] をクリックします。

  3. [フラグ] タブの [ForceEncryption] ボックスの一覧の [はい] をクリックし、[OK] をクリックしてダイアログ ボックスを閉じます。

  4. SQL Server サービスを再開します。

暗号化された接続を要求するクライアントを構成するには

  1. 元の証明書ファイルまたはエクスポートした証明書ファイルを、クライアント コンピュータにコピーします。

  2. クライアント コンピュータで、証明書スナップインを使用して、ルート証明書またはエクスポートした証明書ファイルをインストールします。

  3. コンソール ペインで [SQL Server Native Client の構成] を右クリックし、[プロパティ] をクリックします。

  4. [フラグ] ページの [Force protocol encryption] ボックスで、[はい] をクリックします。

SQL Server Management Studio から接続を暗号化するには

  1. オブジェクト エクスプローラ ツール バーで [接続] をクリックし、[データベース エンジン] をクリックします。

  2. [サーバーへの接続] ダイアログ ボックスで接続情報を入力し、[オプション] をクリックします。

  3. [接続のプロパティ] タブで [暗号化接続] をクリックします。