Шифрованные подключения к базам данных SQL Server

Для повышения безопасности при подключении из ArcGIS Pro к базам данных Microsoft SQL Server можно настроить подключения к базам данных в ArcGIS Pro для запроса шифрованных подключений с применением шифрования Transport Layer Security (TLS).

Для этого необходимо, чтобы вы настроили экземпляр SQL Server на использование шифрования TLS. Если вы не являетесь администратором базы данных SQL Server, проверьте вместе с вашим администратором базы данных, что экземпляр настроен на использование шифрования TLS.

Имейте в виду, что, как и большинство мер безопасности, шифрование повышает безопасность данных, которые вы отправляете по сети между SQL Server и клиентом, но это также влияет на производительность.

Подключение к экземпляру SQL Server, защищенному сертификатом TLS, из центра сертификации

При подключении к экземпляру рабочей версии SQL Server должна быть обеспечена дополнительная безопасность, так как он хранит данные, имеющие важное значение для вашего бизнеса. По умолчанию, для шифрования всего сетевого трафика для подключения необходимо, чтобы компьютеру сервера был назначен сертификат, а машина клиента должна быть настроена на доверие центру корневого сертификата. Возможно, вам придется обратиться в ваш IT-отдел, чтобы настроить компьютеры клиента на проверку сертификата TLS, используемого на компьютере рабочей версии SQL Server.

Примечание:

Если вы планируете публиковать слои, ссылающиеся на данные в зарегистрированной базе данных на защищенном экземпляре SQL Server, необходимо настроить каждый компьютер ArcGIS Server на проверку сертификата TLS компьютера SQL Server.

Если вы создаете файл подключения к базе данных в ArcGIS Pro, присоедините Encrypt=yes к строке экземпляра в диалоговом окне Подключение базы данных или в инструменте геообработки Создать подключение к базе данных или задайте для свойства Encrypt значение yes в разделе Дополнительные свойства диалогового окна Подключение базы данных.

Если вы включаете в строку экземпляра более одного параметра, отделяйте каждый параметр точкой с запятой (;). Например, предоставьте следующую информацию для значения экземпляра для экземпляра рабочей версии SQL Server, myserver\mysqldb, который снабжен сертификатом TLS от центра сертификации (CA):

myserver\mysqldb;Encrypt=yes

В этом примере компьютер клиента проверяет сертификат TLS SQL Server.

Подключение к тестовому экземпляру SQL Server

Для использования шифрования, даже если не предоставлен сертификат TLS из центра сертификации, вы можете включить параметр TrustServerCertificate=yes в строку экземпляра либо задайте для свойства TrustServerCertificate значение yes в разделе Дополнительные свойства диалогового окна Подключение базы данных. При указании этого параметра клиентское приложение использует самозаверенный сертификат, сгенерированный SQL Server. Самозаверенные сертификаты не гарантируют безопасность и могут быть уязвимы для активного вмешательства в соединение. Используйте самозаверенные сертификаты и параметр TrustServerCertificate со значением yes только при подключении к экземпляру разработки или тестирования SQL Server.

В следующем примере шифрованное подключение выполнено к экземпляру разработки SQL Server с именем mydevserver\mytestsql путем размещения информации непосредственно в тексте строки экземпляра:

mydevserver\mytestsql;Encrypt=yes;TrustServerCertificate=yes