實現客戶端和SQL Server的加密連接

對客戶端到SQL Server服務器之間的連接進行加密，一般來說有兩種方法，一種是使用IPSec策略進行加密，一種是使用證書加密。對于前者來說，其工作在網絡層，無論應用層如何封裝，都可以使用IPSec在網絡層對其加密，其適用性很廣泛，其不足之處在于要求服務器和客戶端雙方都要進行加密配置。才可以加密傳輸數據。在服務器端執行“mmc”命令，在控制臺上點擊菜單“文件”、“添加/刪除管理單元”項，在打開窗口左側列表中選擇“IP安全策略管理”和“IP安全監視器”項，點擊“添加”按鈕，將其添加進來。

圖1 創建IPSec安全策略

在控制臺左側選擇“IP安全策略”項，在其右鍵菜單上點擊“創建IP安全策略”項，在向導界面中輸入策略名稱，點擊“完成”按鈕，創建該規則。在自動打開的規則屬性窗口中點擊“添加”按鈕，在向導界面中選擇“此規則不指定隧道”項，點擊“下一步”按鈕，選擇“所有網絡連接”項。在IP篩選器列表窗口中點擊“添加”按鈕，輸入篩選器名稱，點擊“添加”按鈕，在彈出窗口中輸入描述信息，在下一步的IP流量源窗口選擇“任何IP地址”項，在“IP流量目標”窗口中選擇“我的IP地址”項，之后選擇“TCP”協議，在IP協議端口窗口（如圖1）中選擇“從任意端口”項和“到此端口”項，輸入默認的1433端口。具體的端口可能會產生變化，需要在SQL Server配置管理器左側選擇“SQL Server網絡配置”、“具體的實例名”項，在右側的“TCP/IP”項的屬性窗口中查看實際的端口號。點擊“完成”按鈕，在IP篩選器列表中選擇該篩選器，點擊“確定”，在篩選器操作窗口中點擊“添加”按鈕，輸入名稱，在下一步窗口中選擇“協商安全”項，在身份驗證方法窗口中提供了多種驗證方式，這里選擇“使用此字符串保護密鑰交換”項，輸入密碼。……