SQLServer2014のSSL暗号化接続必須化について

SQLServer2014のDBへの接続で、SSLの暗号化接続を必須にしたい。

SSL証明書は自己証明ではなく、Let'sEncriptで発行した証明書を
サーバにインストールしてSQLServer2014でSSL証明書の設定も行いました。

クライアントから接続する際、暗号化するにチェックを入れるなりして
接続もされ、接続プロパティを見ると暗号化ONになるところまで確認できました。
暗号化するにチェック入れないで接続すると、暗号化されずに接続されました。

現在サーバーに証明書はインストールしましたが、
クライアントPCには証明書をインストールしていません。

クライアントPCにも同じ証明書をインストールしないと接続できないように
することは可能でしょうか？
お互い同じ証明書を持っている時だけ接続できるようになれば
少しでもセキュリティが向上するのではと思います。
（期限更新の際は、手作業で入れ替えする予定です。）

行動規範の内容に同意します

回答1件

ベストアンサー

多分これです。
暗号化された接続を強制するサーバーを構成するには

投稿2019/02/18 08:07

hihijiji

総合スコア4152

over

2019/02/18 08:12

この質問は、「サーバと同一の証明書をインストールしたクライアントPCにのみ、DBへの接続を許可する」という質問ではないでしょうか? ポインタしたサイトは暗号化接続にのみ触れているように見えますが・・・

hihijiji

2019/02/18 08:45

over 様突っ込み感謝します。題意は理解しました。サーバー証明書は文字通りサーバーを証明するものなので、クライアントの証明に利用するって頭がありませんでした。

ogaway

2019/02/18 08:47

ありがとうございます。お教えいただいたサイトは、以前私も見ていたサイトで、趣旨が違っていました。質問の意図は、おっしゃる通りです。同じ証明書がある場合のみ接続を許可したいと考えております。

hihijiji

2019/02/18 08:53

サーバー証明書を配布しちゃったら、セキュリティ強度が極端に下がるのでやめておくのが無難です。

over

2019/02/18 09:00

PKI基盤において、クライアント側の接続可否を望むのであれば、サーバ証明書に対するクライアント証明書の配布が一般的かと思います。手元に環境がないため、検索サイトで調べた結果としては、ご期待の機能はないように見受けられました。検索ワード「MS SQL クライアント証明書」

ogaway

2019/02/18 09:02

ありがとうございます。そうなんですよね。クライアント証明書が無いPCからのDBアクセスをブロックできれば一番よいのですが、 SQLServerには無さそうですよね。

hihijiji

2019/02/18 09:03

サーバー証明書を悪意をもって利用されたら、いろんなことが出来ちゃいそうで怖いです。

ogaway

2019/02/18 09:13

ポスグレはサーバー証明書からクライアント証明書を作って、接続時にクライアント証明書の提示を求め、無い場合は接続させないという今回考えていたことが普通にできるようです。 DBを変えることも視野に入れてみます。今回はありがとうございました！

hihijiji

2019/02/18 09:15

クライアント証明書でOKなら、クライアント証明書を使って通るVPNを組んだら如何ですか？

ogaway

2019/02/18 09:32

VPNのハードは購入はできないですし、ソフトVPNを組む労力と、SSL証明書を使って暗号化する労力を比べて、SSLかなと思いました。 VPNも考えてみます。ファイアウォールを入れるのは絶対ですが、VPNでDB接続するのと、DBをそのまま公開してSSL接続するのとでは、やはりVPNの方がよいのでしょうか？

hihijiji

2019/02/19 01:23

VPN経由したら認証が一個増えるので気持ち安心。 SSL直だと内部でも通信内容が把握しにくいので、VPN経由のほうが運用管理面でも有利かも？

行動規範の内容に同意します