データベース ミラーリング エンドポイントでの証明書の使用 (Transact-SQL)

適用対象: SQL Server

あるサーバー インスタンスのデータベース ミラーリングで証明書による認証を有効にするには、システム管理者は、各サーバー インスタンスが発信接続と着信接続の両方で証明書を使用するように構成する必要があります。 この場合、発信接続を最初に構成する必要があります。

注意

1 つのサーバー インスタンス上のすべてのミラーリング接続では、1 つのデータベース ミラーリング エンドポイントが使用されます。そのため、エンドポイントを作成する際にサーバー インスタンスの認証方法を指定する必要があります。 したがって、データベース ミラーリング用の認証は、サーバー インスタンスあたりに 1 つしか使用できません。

発信接続の構成

データベース ミラーリング用に構成する各サーバー インスタンスで、次の手順を実行します。

  1. master データベースで、データベース マスター キーを作成します。

  2. master データベースで、暗号化された証明書をサーバー インスタンスに作成します。

  3. 作成した証明書を使用して、サーバー インスタンスのエンドポイントを作成します。

  4. 証明書をファイルにバックアップし、そのファイルをセキュリティで保護された状態で他のシステムにコピーします。

パートナーおよびミラーリング監視サーバーがある場合は、それぞれで上記の手順を完了する必要があります。

詳細については、「データベース ミラーリング エンドポイントで発信接続に証明書を使用できるようにする (Transact-SQL)」を参照します。

着信接続の構成

次に、データベース ミラーリング用に構成する各パートナーで、次の手順を実行します。 master データベースで、次の作業を行います。

  1. 他のシステムへのログインを作成します。

  2. そのログインのユーザー名を作成します。

  3. 他のサーバー インスタンスのミラーリング エンドポイント用の証明書を入手します。

  4. 手順 2. で作成したユーザーに証明書を関連付けます。

  5. ミラーリング エンドポイント用のログインに CONNECT 権限を許可します。

ミラーリング監視サーバーがある場合は、このサーバーでも着信接続の構成を行う必要があります。 この場合、どちらのパートナーのミラーリング監視サーバーでも、相手のログイン、ユーザー、証明書が必要です。

詳細については、「データベース ミラーリング エンドポイントで着信接続に証明書を使用できるようにする (Transact-SQL)」を参照してください。

セキュリティ

ネットワークがセキュリティで保護されていることを保証できる場合を除いて、データベース ミラーリング接続に対して暗号化を使用することをお勧めします。 詳細については、「データベース ミラーリング エンドポイント (SQL Server)」を参照してください。

証明書を別のシステムにコピーする場合は、セキュリティで保護されたコピー方法を使用してください。 すべての証明書をセキュリティで保護された状態で保管するよう十分に注意してください。

参照

データベース マスター キーの作成
CREATE MASTER KEY (Transact-SQL)
データベース ミラーリングと Always On 可用性グループのトランスポート セキュリティ (SQL Server)
SQL Server データベース エンジンと Azure SQL Database のセキュリティ センター
データベース ミラーリング エンドポイント (SQL Server)