为提高数据传输过程中数据的机密性和安全性，云数据库 SQL Server 版提供了 SSL（Secure Sockets Layer）加密服务。本文介绍如何在云数据库 SQL Server 版控制台上设置 SSL 加密。

背景信息

SSL 加密功能在传输层对网络连接进行加密，在提升通信数据安全性的同时，保证数据的完整性。

注意事项

• 由于开通 SSL 加密会增加云数据库 SQL Server 版服务的网络响应时间，建议仅在有加密需求时才开通 SSL 加密（例如通过公网连接云数据库 SQL Server 版实例）。

• 修改实例的 SSL 配置会重启实例，请谨慎操作。

• 数据库工作台暂不支持对开启了强制 SSL 加密的实例进行操作。如您依赖使用数据库工作台，请谨慎开启此功能。

• SSL 证书默认有效期为 1 年，请及时更新证书有效期并重新下载和配置 CA 证书，否则使用加密连接的客户端程序将无法正常连接。如果临时措施为在连接字符串添加信任服务器证书选项，那么客户端也可正常连接。

• 修改实例的强制加密配置会重启实例，请谨慎操作。

• 开通 SSL 加密的实例在进行备份恢复到新实例或重建实例时，恢复的新实例均默认不继承原实例的 SSL 加密功能。

• 开通 SSL 加密的实例不支持修改实例的公网和私网域名。

• SSL 默认使用 TLS 1.2 协议，请确保客户端的连接配置和操作系统都支持 TLS 1.2 协议。关于客户端的操作系统和客户端的要求如下所示：

  • 操作系统：需为 Windows Server 2008 R2、Windows 7 或更新的操作系统。

  • 客户端：关于客户端的要求如下所示。

    • Microsoft JDBC：Microsoft JDBC 6.4+ support TLSV1.2。

    • .Net Framework

      操作系统	.NET 框架版本	支持 TLS 1.2 的更新
      Windows 7 with SP1 Windows 2008 R2 with SP1	3.5.1	.NET 框架版本 3.5.1 中包含对 TLS v1.2 的支持
      Windows 7 with SP1 Windows 2008 R2 with SP1	4.6.2+	原生支持
      Windows 8 RTM Windows 2012 RTM	3.5	.NET 框架版本 3.5 中包含对 TLS v1.2 的支持
      Windows 8 RTM Windows 2012 RTM	4.6.2+	原生支持
      Windows 8.1 Windows 2012 R2	3.5 SP1	在 Windows 8.1 和 Windows Server 2012 R2 上，.NET 框架 3.5 SP1 包含对 TLS 1.2 的支持
      Windows 8.1 Windows 2012 R2	4.6.2+	原生支持
      Windows 10	3.5, 4.6.2+	原生支持
      Windows 11	3.5, 4.8+	原生支持

    • ODBC：ODBC 对 TLS 1.2 提供原生支持的 Microsoft 驱动程序如下所示。

      • Microsoft ODBC Driver for SQL Server 13

      • Microsoft ODBC Driver for SQL Server 17

      • Microsoft ODBC Driver for SQL Server 18

      • Microsoft OLE DB Driver for SQL Server 19 (MSOLEDBSQL)

操作步骤

1. 登录云数据库 SQL Server 版控制台。

2. 在顶部菜单栏的左上角，选择实例所属的项目和地域。

3. 在实例列表页面，单击目标实例名称。

4. 在实例详情页面，单击数据安全。

5. 在数据安全页签，单击 SSL。

6. 在 SSL 子页签，配置相关信息。

   1. 开启 SSL 加密

      1. 打开 SSL 证书的开关。

      2. 在确认开通吗？对话框，单击确定。
         开通后，SSL 证书有效性变成有效，表示 SSL 加密功能已开通。

         说明

         开通 SSL 加密后，您可以使用 SSL 证书并通过 SSL 的方式连接 SQL Server 实例。

   2. 下载 SSL CA 证书

      单击下载 CA 证书，即可将 SSL CA 证书下载至本地。下载 CA 证书后，您可以在客户端访问的时候指定 SSL 参数和对应的证书进行访问。下载的文件为 ZIP 压缩包，包含以下三个文件：

      • <实例 ID>_ca_certificate.p7b：用于 Windows 系统中导入 CA 证书。

      • <实例 ID>_ca_certificate.pem：用于其他系统（如 Linux）或应用中导入 CA 证书。

      • <实例 ID>_ca_certificate.jks：Java 中的 truststore 证书存储文件，用于 Java 程序中导入 CA 证书。

        说明

        SSL 加密功能开通后，您可下载 SSL CA 证书，用于访问 SQL Server 实例时，指定 SSL 参数和对应的证书进行访问。

   3. 配置 SSL CA 证书

      在云数据库 SQL Server 版实例中开启 SSL 加密后，应用端或客户端在连接实例时需要配置 SSL CA 证书。本文以 SSMS 为例，介绍 SSL CA 证书的安装方法。其它应用或者客户端请参见对应产品的文档。

      2. 安装云数据库 SQL Server 版客户端，详细信息，请参见如何安装 SQL Server Management Studio。

      3. 在桌面左下角的输入框中输入 certmgr.msc 并回车打开。

      4. 在 certmgr 对话框，右键单击 Trusted Root Certification Authorities。

      5. 选择 All Tasks > Import。

         

      6. 单击 Next。

         

      7. 在 Certificate Import Wizard 对话框，单击 Browse... 导入您下载的 SSL CA 证书，然后单击 Next。

         

      8. 选择证书存放的位置，单击 Next。

      9. 单击 Finish。

   4. 配置 SSMS。

      1. 打开 SSMS，在 Connect to Server 对话框，单击 Options。

         

      2. 在 Connect to Server 对话框的 Connection Security 区域，单击 Encryption 下拉列表，选择 Mandatory，并勾选 Trust server certificate。

         

      3. 单击 Connect。

      4. 执行以下命令，查看连接已加密。

         SELECT ENCRYPT_OPTION FROM SYS.DM_EXEC_CONNECTIONS WHERE SESSION_ID = @@SPID
         

   更多操作

   支持的操作	说明
   关闭 SSL 加密	关闭 SSL 证书的开关。 在确认关闭吗？对话框，单击确定。 关闭后，SSL 证书有效性变成无效，同时其他信息将不再展示，表示 SSL 加密功能已关闭。 说明 非 SSL 方式连接实例的具体操作步骤，请参见连接实例。
   更新 SSL 证书有效期	开通 SSL 加密后，您可以通过 SSL 证书有效性的状态是否为有效，以及 SSL 证书有效期来判断当前 SSL 证书是否在有效期内。您可以通过如下步骤更新证书有效期： 单击更新证书。 在确定更新 SSL 证书吗？对话框，单击确定。 说明 证书有效期为 1 年，您可以随时更新证书，更新后，证书将重新获取 1 年有效期。 建议您在 SSL 证书到期前及时更新 SSL 证书的有效期，并重新下载和配置 CA 证书，否则使用加密连接的客户端程序将无法正常连接。
   开启强制加密	打开强制加密的开关。 在确定修改吗？对话框，单击确定。 说明 开启强制加密后，您只能通过 SSL 加密的方式连接实例。
   关闭强制加密	关闭强制加密的开关。 在确定修改吗？对话框，单击确定。 说明 关闭强制加密后，即使开通了 SSL 加密，您也可以通过非加密的方式连接实例。