Verschlüsselte Verbindungen zu SQL Server-Datenbanken

Für eine höhere Sicherheit bei Verbindungen zwischen ArcGIS Pro- und Microsoft SQL Server-Datenbanken können Sie Datenbankverbindungen in ArcGIS Pro so konfigurieren, dass verschlüsselte Verbindungen mit TLS-Verschlüsselung (Transport Layer Security) angefordert werden.

Dazu müssen Sie die SQL Server-Instanz für die Verwendung der TLS-Verschlüsselung konfigurieren. Wenn Sie nicht der SQL Server-Datenbankadministrator sind, müssen Sie sich an den Datenbankadministrator wenden, um zu überprüfen, ob die Instanz für die Verwendung der TLS-Verschlüsselung konfiguriert ist.

Beachten Sie bitte Folgendes: Wie bei den meisten Sicherheitsmaßnahmen erhöht sich durch die Verschlüsselung die Sicherheit der zwischen SQL Server und dem Client gesendeten Netzwerkdaten, gleichzeitig wird jedoch die Performance beeinträchtigt.

Herstellen einer Verbindung zu einer SQL Server-Instanz, die mit einem TLS-Zertifikat einer Zertifizierungsstelle gesichert ist

Bei Verbindungen zu einer Produktionsinstanz von SQL Server sind zusätzliche Sicherheitsmaßnahmen angebracht, da darin unternehmenswichtige Daten gespeichert werden. Standardmäßig ist es zur Verschlüsselung des gesamten Netzwerkdatenverkehrs einer Verbindung erforderlich, dass auf dem Server-Computer ein Zertifikat bereitgestellt wird. Zudem muss die Stammzertifizierungsstelle des Zertifikats auf dem Client-Computer als vertrauenswürdig festgelegt werden. Wenden Sie sich ggf. an Ihre IT-Abteilung, damit diese die Konfiguration so festlegt, dass das auf einem SQL Server-Produktionscomputer verwendete TLS-Zertifikat von Ihrem Client-Computer validiert wird.

Hinweis:

Sollen Layer veröffentlicht werden, die auf Daten in einer registrierten Datenbank auf einer sicheren SQL Server-Instanz verweisen, müssen Sie jeden ArcGIS Server-Computer so konfigurieren, dass das TLS-Zertifikat des SQL Server-Computers validiert wird.

Fügen Sie bei der Erstellung einer Datenbankverbindungsdatei in ArcGIS Pro der Instanzzeichenfolge Encrypt=yes hinzu. Nutzen Sie dazu das Dialogfeld Datenbankverbindung oder das Geoverarbeitungswerkzeug Datenbankverbindung erstellen.

Wenn Sie mehr als einen Parameter in der Instanzzeichenfolge angeben möchten, müssen Sie die einzelnen Parameter mit Semikolons trennen (;). Geben Sie beispielsweise die folgenden Informationen für den Instanzwert der SQL Server-Produktionsinstanz "myserver\mysqldb" an, für die ein TLS-Zertifikat von einer Zertifizierungsstelle bereitgestellt wurde: myserver\mysqldb;Encrypt=yes.

In diesem Beispiel validiert der Client-Computer das SQL Server-TLS-Zertifikat.

Herstellen einer Verbindung zu einer SQL Server-Testinstanz

Um selbst ohne TLS-Zertifikat einer Zertifizierungsstelle die Verschlüsselung zu nutzen, können Sie den Parameter TrustServerCertificate=yes in der Instanzzeichenfolge angeben. Bei Angabe dieses Parameters verwendet die Client-Anwendung ein selbstsigniertes Zertifikat, das von SQL Server erstellt wird. Selbstsignierte Zertifikate sind kein Garant für Sicherheit und stellen u. U. nicht ausreichend Schutz gegen Man-in-the-Middle-Angriffe dar. Verwenden Sie bei Verbindungen zu einer Entwicklungs- oder Testinstanz von SQL Server nur selbstsignierte Zertifikate und den Parameter TrustServerCertificate=yes.

Im folgenden Beispiel wird eine verschlüsselte Verbindung zu einer SQL Server-Entwicklungsinstanz namens "mydevserver\mytestsql" hergestellt: mydevserver\mytestsql;Encrypt=yes;TrustServerCertificate=yes.