Menggunakan SSL dengan instans DB Microsoft SQL Server - Layanan Basis Data Relasional Amazon
Memaksa SSLMengenkripsi koneksi spesifik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan SSL dengan instans DB Microsoft SQL Server

Anda dapat menggunakan Secure Sockets Layer (SSL) untuk mengenkripsi koneksi antara aplikasi klien Anda dan instans DB Amazon RDS yang menjalankan Microsoft SQL Server. Dukungan SSL tersedia di semua AWS wilayah untuk semua edisi SQL Server yang didukung.

Saat Anda membuat instans DB SQL Server, Amazon RDS membuat sertifikat SSL untuk instans DB tersebut. Sertifikat SSL menyertakan titik akhir instans DB sebagai Nama Umum (CN) untuk sertifikat SSL guna melindungi dari serangan spoofing.

Ada 2 cara menggunakan SSL untuk terhubung ke instans DB SQL Server Anda:

  • Paksa SSL untuk semua koneksi — ini terjadi secara transparan pada klien, dan klien tidak perlu melakukan pekerjaan apa pun untuk menggunakan SSL.

    catatan

    Saat Anda mengatur 1 dan rds.force_ssl menggunakan SSMS versi 19.3, 20.0, dan 20.2, periksa yang berikut ini:

    • Aktifkan Sertifikat Server Kepercayaan di SSMS.

    • Impor sertifikat di sistem Anda.

  • Enkripsi koneksi tertentu — ini menyiapkan koneksi SSL dari komputer klien tertentu, dan Anda harus melakukan pekerjaan pada klien untuk mengenkripsi koneksi.

Untuk informasi tentang dukungan Transport Layer Security (TLS) untuk SQL Server, lihat Dukungan TLS 1.2 untuk Microsoft SQL Server.

Memaksa koneksi ke instans DB Anda untuk menggunakan SSL

Anda dapat memaksa semua koneksi ke instans DB Anda untuk menggunakan SSL. Jika Anda memaksa koneksi untuk menggunakan SSL, hal ini terjadi secara transparan pada klien, dan klien tidak perlu melakukan tindakan apa pun untuk menggunakan SSL.

Jika Anda ingin memaksa SSL, gunakan parameter rds.force_ssl. Secara default, parameter rds.force_ssl diatur ke 0 (off). Atur parameter rds.force_ssl ke 1 (on) untuk memaksa koneksi untuk menggunakan SSL. Parameter rds.force_ssl bersifat statis, sehingga setelah Anda mengubah nilai, Anda harus mem-boot ulang instans DB Anda agar perubahan dapat berlaku.

Anda dapat memaksa semua koneksi ke instans DB Anda untuk menggunakan SSL

  1. Tentukan grup parameter yang dilampirkan ke instans DB Anda:

    1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.

    2. Di sudut kanan atas konsol Amazon RDS, pilih AWS Wilayah instans DB Anda.

    3. Di panel navigasi, pilih Basis data, lalu pilih nama instans DB Anda untuk memperlihatkan detailnya.

    4. Pilih tab Konfigurasi. Temukan Grup parameter di bagian tersebut.

  2. Jika perlu, buat grup parameter baru. Jika instans DB Anda menggunakan grup parameter default, Anda harus membuat grup parameter baru. Jika instans DB Anda menggunakan grup parameter nondefault, Anda dapat memilih untuk mengedit grup parameter yang ada atau untuk membuat grup parameter baru. Jika Anda mengedit grup parameter yang sudah ada, perubahan akan memengaruhi semua instans DB yang menggunakan grup parameter tersebut.

    Untuk membuat grup parameter baru, ikuti petunjuk di Membuat grup parameter DB di Amazon RDS .

  3. Mengedit grup parameter baru atau yang sudah ada untuk mengatur parameter rds.force_ssl ke true. Untuk mengedit grup parameter, ikuti petunjuk di .

  4. Jika Anda membuat grup parameter baru, ubah instans DB Anda untuk melampirkan grup parameter baru. Ubah pengaturan Grup Parameter DB dari instans DB. Untuk informasi selengkapnya, lihat Memodifikasi instans DB Amazon RDS.

  5. Boot ulang instans DB Anda. Untuk informasi selengkapnya, lihat Mem-boot ulang instans DB DB.

Mengenkripsi koneksi spesifik

Anda dapat memaksa semua koneksi ke instans DB Anda untuk menggunakan SSL, atau Anda dapat mengenkripsi koneksi dari komputer klien tertentu saja. Untuk menggunakan SSL dari klien tertentu, Anda harus mendapatkan sertifikat untuk komputer klien, mengimpor sertifikat di komputer klien, kemudian mengenkripsi koneksi dari komputer klien.

catatan

Semua instans SQL Server yang dibuat setelah 5 Agustus 2014, menggunakan titik akhir instans DB dalam bidang Common Name (CN) pada sertifikat SSL. Sebelum 5 Agustus 2014, verifikasi sertifikat SSL tidak tersedia untuk instans SQL Server berbasis VPC. Jika Anda memiliki instans DB SQL Server berbasis VPC yang dibuat sebelum 5 Agustus 2014, dan Anda ingin menggunakan verifikasi sertifikat SSL dan memastikan bahwa titik akhir instans disertakan sebagai CN untuk sertifikat SSL untuk instans DB tersebut, maka ubah nama instans tersebut. Saat Anda mengubah nama pada suatu instans DB, sertifikat baru akan diterapkan dan instans akan di-boot ulang untuk mengaktifkan sertifikat baru.

Mendapatkan sertifikat untuk komputer klien

Untuk mengenkripsi koneksi dari komputer klien ke instansDB Amazon RDS yang menjalankan Microsoft SQL Server, Anda memerlukan sertifikat di komputer klien Anda.

Untuk mendapatkan sertifikat tersebut, unduh sertifikat ke komputer klien Anda. Anda dapat mengunduh sertifikat root yang berfungsi untuk semua wilayah. Anda juga dapat mengunduh paket sertifikat yang berisi sertifikat root yang lama dan baru. Selain itu, Anda juga dapat mengunduh sertifikat menengah khusus wilayah. Untuk informasi selengkapnya tentang cara mengunduh sertifikat, lihat .

Setelah Anda mengunduh sertifikat yang sesuai, impor sertifikat ke sistem operasi Microsoft Windows dengan mengikuti prosedur di bagian berikut.

Mengimpor sertifikat untuk komputer klien

Anda dapat menggunakan prosedur berikut untuk mengimpor sertifikat Anda ke dalam sistem operasi Microsoft Windows di komputer klien Anda.

Impor sertifikat ke dalam sistem operasi Windows Anda:

  1. Pada menu Mulai, ketik Run di kotak pencarian dan tekan Masuk.

  2. Pada kotak Buka , ketik MMC lalu pilih OK.

  3. Pada konsol MMC, pada menu File, pilih Tambah/Hapus Snap-in.

  4. Pada kotak dialog Tambah atau Hapus Snap-in, untuk Snap-in yang tersedia, pilih Certificates, lalu pilih Tambahkan.

  5. Pada kotak dialog Sertifikat snap-in, pilih Akun komputer, lalu pilih Selanjutnya.

  6. Pada kotak dialog Pilih komputer, pilih Selesai.

  7. Pada kotak dialog Tambah atau Hapus Snap-in, pilih OK.

  8. Pada konsol MMC, perluas Sertifikat, buka menu konteks (klik kanan) untuk Otorisasi Sertifikasi Root Tepercaya, pilih Semua Tugas, lalu pilih Impor.

  9. Di halaman pertama Certificate Import Wizard, pilih Selanjutnya.

  10. Di halaman kedua Certificate Import Wizard, pilih Jelajahi. Pada jendela jelajah, ubah jenis file ke Semua file (*.*) karena .pem bukanlah ekstensi sertifikat standar. Cari file .pem yang Anda unduh sebelumnya.

  11. Pilih Buka untuk memilih file sertifikat, lalu pilih Selanjutnya.

  12. Di halaman ketiga Certificate Import Wizard, pilih Selanjutnya.

  13. Di halaman keempat Certificate Import Wizard, pilih Selanjutnya. Kotak dialog muncul yang menunjukkan bahwa impor berhasil.

  14. Pada konsol MMC, perluas Sertifikat, perluas Otorisasi Sertifikasi Root Tepercaya, lalu pilih Sertifikat. Cari sertifikat untuk mengonfirmasi bahwa sertifikat itu ada, seperti yang ditunjukkan di sini.

    Di konsol MMC, di panel navigasi, folder Sertifikat dipilih dibor dari Root Konsol, Sertifikat (Komputer Lokal), dan Otoritas Sertifikasi Root Tepercaya. Di halaman utama, pilih sertifikat CA yang diperlukan.

Mengenkripsi koneksi ke instans DB Amazon RDS yang menjalankan Microsoft SQL Server

Setelah Anda mengimpor sertifikat ke komputer klien, Anda dapat mengenkripsi koneksi dari komputer klien ke instans DB Amazon RDS yang menjalankan Microsoft SQL Server.

Untuk SQL Server Management Studio, gunakan prosedur berikut. Untuk informasi selengkapnya tentang SQL Server Management Studio, lihat Menggunakan SQL Server Management Studio.

Untuk mengenkripsi koneksi dari SQL Server Management Studio

  1. Luncurkan SQL Server Management Studio.

  2. Untuk Terhubung ke server, ketikkan informasi server, nama pengguna login, dan kata sandi.

  3. Pilih Opsi.

  4. Pilih Enkripsikan koneksi.

  5. Pilih Terhubung.

  6. Konfirmasikan bahwa koneksi Anda dienkripsi dengan menjalankan kueri berikut. Verifikasi bahwa kueri kembali true untuk encrypt_option. 

    select ENCRYPT_OPTION from SYS.DM_EXEC_CONNECTIONS where SESSION_ID = @@SPID

Untuk klien SQL lain, gunakan prosedur berikut.

Untuk mengenkripsi koneksi dari klien SQL lainnya

  1. Tambahkan encrypt=true ke string koneksi Anda. String ini mungkin tersedia sebagai opsi, atau sebagai properti di halaman koneksi di alat GUI.

    catatan

    Untuk mengaktifkan enkripsi SSL untuk klien yang terhubung menggunakan JDBC, Anda mungkin perlu menambahkan sertifikat SQL Amazon RDS ke penyimpanan sertifikat Java CA (cacerts). Anda dapat melakukan ini dengan menggunakan utilitas alat kunci.

  2. Konfirmasikan bahwa koneksi Anda dienkripsi dengan menjalankan kueri berikut. Verifikasi bahwa kueri kembali true untuk encrypt_option. 

    select ENCRYPT_OPTION from SYS.DM_EXEC_CONNECTIONS where SESSION_ID = @@SPID