データベース エンジンへの暗号化接続を有効にする方法 (SQL Server 構成マネージャ)
SQL Server 構成マネージャを使用してデータベース エンジンの証明書を指定することにより、SQL Server データベース エンジンのインスタンスへの暗号化接続を有効にできます。サーバー コンピュータには証明書を提供し、クライアント マシンは証明書のルート機関を信頼するように設定する必要があります。
注意 |
---|
提供は、証明書を Windows にインポートすることでインストールする処理です。 |
サーバー認証用の証明書が発行されている必要があります。証明書の名前は、コンピュータの完全修飾ドメイン名 (FQDN) である必要があります。
証明書は、コンピュータ上のユーザーにローカルに格納されます。SQL Server で使用するための証明書をインストールするには、SQL Server サービスと同じユーザー アカウントを使用して SQL Server 構成マネージャを実行する必要があります。ただし、LocalSystem、NetworkService、または LocalService でサービスが実行されていて、管理者アカウントを使用している場合を除きます。
クライアントは、サーバーが使用する証明書の所有権を検証できる必要があります。サーバー証明書に署名した証明機関の公開キー証明書をクライアントが持っている場合は、それ以上の構成は必要ありません。Microsoft Windows には、多くの証明機関の公開キー証明書が含まれています。サーバー証明書に署名した公的または私的な証明機関に対する公開キー証明書をクライアントが持っていない場合は、サーバー証明書に署名した証明機関の公開キー証明書をインストールする必要があります。
注意 |
---|
フェールオーバー クラスタで暗号化を使用する場合、フェールオーバー クラスタ内のすべてのノードに対して、仮想サーバーの完全修飾 DNS 名を使用してサーバー証明書をインストールする必要があります。たとえば、test1.<your company>.com および test2.<your company>.com というノードと、virtsql という仮想サーバーを持つ 2 ノードのクラスタがあるとします。この場合、virtsql.<your company>.com の証明書を両方のノードにインストールする必要があります。[ForceEncryption]オプション値を [はい] に設定できます。 |
サーバーに証明書を提供 (インストール) するには
[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、[名前] ボックスに「MMC」と入力し、[OK] をクリックします。
MMC コンソールの [コンソール] メニューで、[スナップインの追加と削除] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで [証明書] をクリックし、次に [追加] をクリックします。
[証明書スナップイン] ダイアログ ボックスで [コンピュータ アカウント] をクリックし、[完了] をクリックします。
[スタンドアロン スナップインの追加] ダイアログ ボックスで [閉じる] をクリックします。
[スナップインの追加と削除] ダイアログ ボックスで [OK] をクリックします。
[証明書] スナップインで、[証明書]、[個人] の順に展開し、[証明書] を右クリックします。次に [すべてのタスク] をポイントし、[インポート] をクリックします。
[証明書のインポート ウィザード] を完了して証明書をコンピュータに追加し、MMC コンソールを閉じます。コンピュータへの証明書の追加の詳細については、Windows のマニュアルを参照してください。
サーバー証明書をエクスポートするには
[証明書] スナップインで、[証明書] の [個人] フォルダで証明書を探し、[証明書] を右クリックします。次に [すべてのタスク] をポイントし、[エクスポート] をクリックします。
証明書のエクスポート ウィザードを実行して、証明書ファイルを使いやすい場所に格納します。
暗号化された接続を許可するサーバーを構成するには
SQL Server 構成マネージャで、[SQL Server ネットワークの構成] を展開し、[<server instance> のプロトコル] を右クリックします。次に**[プロパティ]** をクリックします。
[<インスタンス名> のプロトコルのプロパティ] ダイアログ ボックスの [証明書] タブで、[証明書] ボックスのドロップダウンから必要な証明書を選択し、次に [OK] をクリックします。
[フラグ] タブの [ForceEncryption] ボックスの一覧の [はい] をクリックし、[OK] をクリックしてダイアログ ボックスを閉じます。
SQL Server サービスを再開します。
暗号化された接続を要求するクライアントを構成するには
元の証明書ファイルまたはエクスポートした証明書ファイルを、クライアント コンピュータにコピーします。
クライアント コンピュータで、証明書スナップインを使用して、ルート証明書またはエクスポートした証明書ファイルをインストールします。
コンソール ペインで [SQL Server Native Client の構成] を右クリックし、[プロパティ] をクリックします。
[フラグ] ページの [Force protocol encryption] ボックスで、[はい] をクリックします。
SQL Server Management Studio から接続を暗号化するには
オブジェクト エクスプローラ ツール バーで [接続] をクリックし、[データベース エンジン] をクリックします。
[サーバーへの接続] ダイアログ ボックスで接続情報を入力し、[オプション] をクリックします。
[接続のプロパティ] タブで [暗号化接続] をクリックします。