Amazon Relational Database Service
Guide de l'utilisateur (Version de l'API 2014-10-31)

Utilisation de SSL avec une instance DB Microsoft SQL Server

Vous pouvez utiliser SSL (Secure Sockets Layer) pour chiffrer les connexions entre vos applications clientes et vos instances de base de données Amazon RDS exécutant Microsoft SQL Server. Le support SSL est disponible dans toutes les régions AWS pour toutes les éditions SQL Server prises en charge.

Lorsque vous créez une instance de base de données SQL Server, Amazon RDS crée un certificat SSL pour celle-ci. Le certificat SSL inclut le point de terminaison de l'instance de base de données en tant que nom commun du certificat SSL pour assurer une protection contre les attaques par usurpation.

Il existe deux façons d'utiliser SSL pour vous connecter à votre instance de base de données SQL Server :

  • Forcer SSL pour toutes les connexions — cette opérations s'exécute en toute transparence pour le client qui n'a rien à faire pour utiliser SSL.

  • Chiffrer des connexions spécifiques — cela permet de configurer une connexion SSL depuis un ordinateur spécifique du client que vous devez utiliser pour chiffrer les connexions.

Pour plus d'informations sur la prise en charge du protocole TLS (Transport Layer Security) pour SQL Server, consultez la documentation relative à la prise en charge de TLS 1.2 pour Microsoft SQL Server.

Forcer les connexions à votre instance de base de données pour utiliser SSL

Vous pouvez forcer toutes les connexions à votre instance de base de données à utiliser SSL. Si vous forcez les connexions à utiliser SSL, cette opération s'exécute en toute transparence pour le client qui n'a rien à faire pour utiliser SSL.

Si vous souhaitez forcer SSL, utilisez le paramètre rds.force_ssl. Par défaut, le paramètre rds.force_ssl est défini sur false. Définissez le paramètre rds.force_ssl sur true pour forcer les connexions à utiliser SSL. Le paramètre rds.force_ssl est statique, donc après avoir modifié la valeur, vous devez redémarrer votre instance de base de données pour que la modification soit effective.

Pour forcer toutes les connexions à votre instance de base de données à utiliser SSL

  1. Déterminez le groupe de paramètres attaché à votre instance de base de données :

    1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

    2. Dans le coin supérieur droit de la console Amazon RDS, choisissez la région AWS de votre instance de base de données.

    3. Dans le panneau de navigation, choisissez Bases de données, puis le nom de votre instance de base de données pour afficher ses détails.

    4. Choisissez l'onglet Configuration. Recherchez le groupe de paramètres dans la section.

  2. Le cas échéant, créez un nouveau groupe de paramètres. Si votre instance de base de données utilise le groupe de paramètres par défaut, vous devez créer un nouveau groupe de paramètres. Si votre instance de base de données utilise un groupe de paramètres personnalisé, vous pouvez choisir de modifier le groupe de paramètres existant ou de créer un nouveau groupe de paramètre. Si vous modifiez un groupe de paramètre existant, la modification s'applique à l'ensemble des instances de base de données qui utilisent ce groupe de paramètres.

    Pour créer un nouveau groupe de paramètres, suivez les instructions dans Création d'un groupe de paramètres DB.

  3. Modifiez le groupe de paramètres nouvellement créé ou existant pour définir le paramètre rds.force_ssl sur true. Pour modifier le groupe de paramètres, suivez les instructions dans Modification de paramètres dans un groupe de paramètres DB.

  4. Si vous créez un nouveau groupe de paramètres, modifiez votre instance de base de données à attacher au nouveau groupe de paramètres. Modifiez le paramètre Groupe de paramètres de base de données de l'instance de base de données. Pour plus d'informations, consultez Modification d'une instance de base de données exécutant le moteur de base de données Microsoft SQL Server.

  5. Redémarrez votre instance de base de données. Pour plus d'informations, consultez Redémarrage d'une instance de base de données.

Chiffrement de connexions spécifiques

Vous pouvez forcer toutes les connexions à votre instance de base de données à utiliser SSL ou vous pouvez chiffrer les connexions depuis des ordinateurs client spécifiques uniquement. Pour utiliser SSL depuis l'ordinateur spécifique du client, vous devez obtenir des certificats pour l'ordinateur client, importer des certificats sur l'ordinateur client, puis chiffrer les connexions depuis l'ordinateur client.

Note

Toutes les instances SQL Server créées après le 5 août 2014 utilisent le point de terminaison d'instance de base de données dans le champ Common Name (CN) du certificat SSL. Avant le 5 août 2014, la vérification de certificat SSL n'était pas disponible pour les instances SQL Server basées sur VPC. Si vous disposez d'une instance de base de données SQL Server basée sur VPC qui a été créée avant le 5 août 2014, et que vous voulez utiliser la vérification de certificat SSL et assurer que le point de terminaison de l'instance soit inclus comme CN pour le certificat SSL de cette instance de base de données, renommez l'instance. Lorsque vous renommez une instance de base de données, un nouveau certificat est déployé et l'instance est redémarrée pour activer le nouveau certificat.

Obtention de certificats pour les ordinateurs clients

Pour chiffrer les connexions d'un ordinateur client vers une instance de base de données Amazon RDS exécutant Microsoft SQL Server, vous avez besoin d'un certificat sur votre ordinateur client.

Pour obtenir ce certificat, téléchargez-le sur votre ordinateur client. Vous pouvez télécharger un certificat racine valide pour toutes les régions. Un ensemble de certificats contenant l'ancien certificat racine et le nouveau certificat racine peut également être téléchargé. De plus, vous pouvez télécharger des certificats intermédiaires propres à une région. Pour en savoir plus sur le téléchargement de certificats, consultez Utilisation de SSL pour chiffrer une connexion à une instance de base de données.

Après avoir téléchargé le certificat approprié, importez-le dans votre système d'exploitation Microsoft Windows en suivant la procédure de la section suivante.

Importation de certificats sur des ordinateurs clients

Vous pouvez utiliser la procédure suivante pour importer votre certificat dans le système d'exploitation Microsoft Windows de votre ordinateur client.

Pour importer le certificat dans votre système d'exploitation Windows :

  1. Dans le menu Début, saisissez Run dans la zone de recherche et appuyez sur Entrée.

  2. Dans la zone Ouvrir, saisissez MMC et choisissez OK.

  3. Dans la console MMC, dans le menu Fichier, choisissez Add/Remove Snap-in (Ajouter/Supprimer Snap-in).

  4. Dans la boîte de dialogue Add or Remove Snap-ins (Ajouter ou Supprimer les Snap-ins), pour Available snap-ins (Snap-ins disponibles), sélectionnez Certificates et choisissez Ajouter.

  5. Dans la console MMC, dans le menu Fichier, choisissez Add/Remove Snap-in (Ajouter/Supprimer Snap-in).

  6. Dans la boîte de dialogue Certificates snap-in (Certificats snap-in), choisissez Computer account (Compte d'ordinateur) et Suivant.

  7. Dans la boîte de dialogue Select computer (Sélectionner ordinateur), choisissez Terminer.

  8. Dans la boîte de dialogue Add or Remove Snap-ins (Ajouter ou supprimer snap-ins), choisissez OK.

  9. Dans la console MMC, développez Certificats, ouvrez le menu contextuel (clic droit) et pour Trusted Root Certification Authorities (Autorités de certification de racine de confiance), choisissez All Tasks (Toutes les tâches) et Importer.

  10. Sur la première page de l'assistant d'importation de certificat, choisissez Suivant.

  11. Sur la deuxième page de l'assistant d'importation de certificat, choisissez Browse (Naviguer). Dans la fenêtre de navigation, modifiez le type de fichier à Tous les fichiers (*.*), car .pem n'est pas une extension de certificat standard. Recherchez le fichier .pem que vous avez téléchargé précédemment.

  12. Choisissez Ouvrir pour sélectionner le fichier de certificat, puis Suivant.

  13. Sur la troisième page de l'assistant d'importation de certificat, choisissez Suivant.

  14. Sur la quatrième page de l'assistant d'importation de certificat, choisissez Terminer. Une boîte de dialogue apparaît confirmant la réussite de l'importation.

  15. Dans la console MMC, développez Certificats, développez Trusted Root Certification Authorities (Autorités de certification racine de confiance) et choisissez Certificats. Recherchez le certificat pour confirmer son existence, comme illustré ci-après.

  16. Redémarrez votre ordinateur.

Chiffrement des connexions vers une instance de base de données Amazon RDS exécutant Microsoft SQL Server

Après avoir importé un certificat dans votre ordinateur client, vous pouvez chiffrer des connexions d'un ordinateur client vers une instance de base de données Amazon RDS exécutant Microsoft SQL Server.

Pour SQL Server Management Studio, utilisez la procédure suivante. Pour plus d'informations sur SQL Server Management Studio, consultez Utilisation de SQL Server Management Studio.

Pour chiffrer des connexions à partir de SQL Server Management Studio

  1. Lancez SQL Server Management Studio.

  2. Pour Connect to server (Se connecter au serveur), entrez les informations serveur, le mot de passe et le nom d'utilisateur de connexion.

  3. Choisissez Options.

  4. Sélectionnez Encrypt connection (Chiffrer la connexion).

  5. Choisissez Connexion.

  6. Vérifiez que votre connexion est chiffrée en exécutant la requête suivante. Vérifiez que la requête renvoie true pour encrypt_option.

    select ENCRYPT_OPTION from SYS.DM_EXEC_CONNECTIONS where SESSION_ID = @@SPID

Pour tout autre client SQL, utilisez la procédure suivante.

Pour chiffrer des connexions d'autres clients SQL

  1. Ajoutez encrypt=true au début du votre chaîne de connexion. Cette chaîne peut être disponible en tant qu'option ou en tant que propriété sur la page de connexion dans les outils d'interface utilisateur graphique.

    Note

    Pour activer le chiffrement SSL pour des clients qui se connectent en utilisant JDBC, vous devrez peut-être ajouter le certificat SQL Amazon RDS au magasin de certificats d'autorité de certification (cacerts) Java. Vous pouvez faire cela en utilisant l'utilitaire keytool.

  2. Vérifiez que votre connexion est chiffrée en exécutant la requête suivante. Vérifiez que la requête renvoie true pour encrypt_option.

    select ENCRYPT_OPTION from SYS.DM_EXEC_CONNECTIONS where SESSION_ID = @@SPID