নতুন টিএলএস স্ট্যান্ডার্ডের সাথে এসকিউএল সার্ভারের সামঞ্জস্য

30
  • প্রধান ব্রাউজারগুলি SSL3.0 এবং TLS1.0 এর বাইরে চলেছে।
  • এই প্রোটোকলগুলিকে পর্যাপ্ত শক্তিশালী এনক্রিপশন হিসাবে বিবেচনা করার জন্য পিসিআই সুরক্ষা কাউন্সিল একটি জীবনের শেষ তারিখ ঘোষণা করেছে।

নতুন এবং শক্তিশালী এগুলি ব্যবহার করার জন্য আমাদের এই প্রোটোকলগুলি থেকে সরে যেতে হবে। উইন্ডোজ সার্ভারগুলিতে, আপনি খুব সহজেই এই পুরানো প্রোটোকলগুলি অক্ষম করতে পারেন এবং পরিবর্তে কেবলমাত্র টিএলএস 1.1 বা তার চেয়ে বড় অফার করতে পারেন। যাইহোক, অন্য কোথাও উল্লিখিত হিসাবে , মাইক্রোসফ্ট এসকিউএল সার্ভার ২০০৮ আর ২ এবং এসকিউএল সার্ভার ২০১২ (স্ট্যান্ডার্ড, কমপক্ষে) উভয়ই যদি সেই নিম্ন প্রোটোকলগুলি অক্ষম করা শুরু করে না। তবে এমএস এসকিউএল সার্ভারের ক্রমবর্ধমান সংস্করণ রয়েছে। এসকিউএল সার্ভার স্ট্যান্ডার্ড, বিজনেস ইন্টেলিজেন্স, এন্টারপ্রাইজ, এক্সপ্রেস, ওয়েব এবং কমপ্যাক্ট সংস্করণ রয়েছে। এবং অবশ্যই সেখানে এসকিউএল সার্ভার 2008, 2012, 2014 এবং (প্রাক-প্রকাশে) 2016 রয়েছে।

এই সংস্করণগুলির মধ্যে কোনটি কেবলমাত্র টিএলএস 1.1 বা বৃহত্তর প্রোটোকল ব্যবহার সমর্থন করে?

sql-server  security  connectivity  ssl 
মার্ক গোল্ডফেইন
সূত্র
পার্শ্ব নোট হিসাবে: এখানে পিসিআই প্রয়োজনীয়তা সামগ্রিক ডেটা ট্রান্সমিশনকে কভার করে, সুতরাং কোনও ভিপিএন / টানেলগুলিতে জনসাধারণ এবং / অথবা ওয়্যারলেস নেটওয়ার্কের মধ্যে যে কোনও এসকিউএল কমগুলি মোড়ানো যা আরও ভাল মান প্রয়োগ করে তা যথেষ্ট হওয়া উচিত। তারা স্থানীয় যোগাযোগগুলি একেবারে কভার নাও করতে পারে; সুতরাং উপযুক্ত এসকিউএল কনফিগারেশন এবং / অথবা ফায়ারওয়ালস এবং অন্যান্য ফিল্টারিংয়ের কারণে যদি আপনার ভিএলএএন এর বাইরের কোনও কিছু এসকিউএল উদাহরণটিও স্পর্শ করতে না পারে তবে আপনাকে এই পিওভি থেকে উদ্বিগ্ন হওয়ার দরকার নেই। অবশ্যই আপনাকে যদি পাবলিক নেটওয়ার্কে কোনও এসকিউএল উদাহরণ উন্মোচিত করার দরকার হয় তবে এগুলির কোনওটিই আপনাকে সহায়তা করে না, তবে সেই ধারণা আমাকে যাইহোক ভয় দেখায়!
ডেভিড স্পিললেট

উত্তর:

19

মাইক্রোসফ্ট সম্প্রতি প্রকাশ করেছে (প্রচুর ধোঁকা ছাড়াই) যে তারা টিএলএস ১.২ এ বিনিয়োগ করবে এবং এসএসএল ফেজ করবে। এটি এসকিউএল সার্ভারের সমস্ত সংস্করণের সাথে প্রাসঙ্গিক হওয়া উচিত।

আপডেট ২০১-0-০১-২৯ : মাইক্রোসফ্ট ২০০৮, ২০০৮ আর ২, ২০১২ এবং ২০১৪ সালে টিএলএস ১.২ এর সরকারী সমর্থন ঘোষণা করেছে । ডাউনলোড এবং অন্যান্য তথ্য KB # 3135244 এ পাওয়া যাবে ।

আমি উল্লেখ করা কয়েকটি বিষয় সম্পর্কে ব্লগ করেছি, পাশাপাশি আপনি যদি 2014 সালে এনক্রিপ্ট করা শেষ পয়েন্টগুলি ব্যবহার করেন তবে একটি সতর্কতা হিসাবে:

পোস্টটি অ্যাডুড ভার্সনের উপর নির্ভর করে ডাউনলোডের (বা অন্যান্য ক্রিয়া) সঠিক বিল্ডের দিকেও নির্দেশ করে points

এই পদক্ষেপটি কেবলমাত্র 2014 এবং তার বেশি বা কেবল ২০১ 2016 সালে বিদ্যমান বিদ্যমান সংস্করণগুলিকে প্রভাবিত করবে কিনা তা এখনও দেখার দরকার। নীচের উদ্ধৃতিটি কমপক্ষে ২০১৪ এ বোঝা যাচ্ছে যে এই কাজের অংশ হবে - এবং আমার সন্দেহ হয় যে বিনিয়োগের বেশিরভাগ অংশ ক্লায়েন্ট লাইব্রেরিতে থাকবে, ইঞ্জিনে নয়, সুতরাং এটি সম্ভবত সম্ভব যে এটি পরবর্তী সংস্করণে কোনও সংস্করণের জন্য কাজ করবে ওডিবিসি / নেটিভ ক্লায়েন্টের ড্রাইভাররা সমর্থন করবে।

আমি মাইক্রোসফ্টের কেভিন ফারলির পাওয়ার পয়েন্ট ডেক থেকে এটি পেয়েছি এবং তথ্যটি ভাগ করে নেওয়ার অনুমতি পেয়েছি, যদিও আমি জানি না যে এ মুহুর্তে এর কতটা পুনরায় বিতরণ করা হয়েছে। ডেক থেকে সঠিক উদ্ধৃতি এখানে:

ফ্লাইটে এনক্রিপশন: গ্রাহক এবং সার্ভারের মধ্যে থাকা স্নুপিং এবং ম্যান-ইন-মধ্য-আক্রমণের বিরুদ্ধে ডেটা রক্ষা করে। এস.এস.এল.কে পর্যায়ক্রমে সিওয়াই 15 এ টিএলএস 1.2 তে আপগ্রেড করা।

এছাড়াও আপনি যদি কেবি # 3052404 তাকান , মনে হয় এটি 2012 এসপি + এবং 2014 (প্যাচগুলি 2016 এর জন্য প্রয়োজন হবে না) দিয়ে কাজ করার জন্য প্যাচগুলি রয়েছে তবে এসকিউএল সার্ভার 2005, 2008-এ কোনও ব্যাক-পোর্টিং থাকবে না এমন কোনও ইঙ্গিত নেই , বা 2008 আর 2 (এবং সত্যই, আমি বেশ অবাক হব)।

হারুন বারট্র্যান্ড
সূত্র
6

অন্যান্য উত্তরের মতো: টিএলএস 1.2 এর জন্য আপনার সাম্প্রতিক সিইউ দরকার। দেখুন:

ফিক্স: এসকিউএল সার্ভার ২০১৪ বা এসকিউএল সার্ভার ২০১২ চলছে এমন একটি সার্ভারের সাথে সংযোগ স্থাপনের জন্য আপনি পরিবহন স্তর সুরক্ষা প্রোটোকল সংস্করণ 1.2 ব্যবহার করতে পারবেন না :

  • এসকিউএল সার্ভার 2014 এসপি 1 এর জন্য সংশ্লেষিত আপডেট 1
  • এসকিউএল সার্ভার 2014 এর জন্য সংক্ষিপ্ত আপডেট 8
  • এসকিউএল সার্ভার 2012 এসপি 3 এর জন্য সংশ্লেষিত আপডেট 1
  • এসকিউএল সার্ভার 2012 এসপি 2 এর জন্য সংশ্লেষিত আপডেট 10

কেবলমাত্র টিএলএস 1.2 সক্ষম করার পরে আপনি সম্ভবত দুটি ত্রুটির মুখোমুখি হবেন:

  1. এসকিউএল সার্ভার 2014 এজেন্ট শুরু হবে না। সমাধান: এ ডাউনলোড লিঙ্ক থেকে ইনস্টল SQL সার্ভার 2012 SNAC KB3135244
  2. এসকিউএল সার্ভার ম্যানেজমেন্ট স্টুডিও সংযোগ করতে পারে না। সমাধান: KB3135244 থেকে প্রযোজ্য .NET ফ্রেমওয়ার্ক হটফিক্স ইনস্টল করুন

এছাড়াও আপনাকে এসকিউএল সার্ভারের সাথে সংযুক্ত সমস্ত ক্লায়েন্টের এসএনএসি / ওবিডিসি ড্রাইভার আপডেট করতে হবে।

ডাউনলোড লিঙ্কগুলির সাথে এসকিউএল সার্ভার এবং ক্লায়েন্ট ড্রাইভার তৈরির সম্পূর্ণ তালিকা, এবং প্রয়োজনীয় অন্যান্য কনফিগারেশন পরিবর্তনগুলি নিম্নলিখিত মাইক্রোসফ্ট সাপোর্ট নলেজ বেস অনুচ্ছেদে অন্তর্ভুক্ত রয়েছে:

TLS 1.2 মাইক্রোসফ্ট এসকিউএল সার্ভারের জন্য সমর্থন

জেনস ডাব্লু।
সূত্র
কেন এখনও আমি এসকিউএল সার্ভার 2012 এসপিএল সার্ভারের জন্য এসপিএল সার্ভার ২০১২ এসপি 3 ইনস্টলড এর জন্য ক্রমবর্ধমান আপডেট 1 দিয়ে শুরু করতে পারি না?
নিক
4

29 শে জানুয়ারী 2016, মাইক্রোসফ্ট এসকিউএল সার্ভার এর জন্য টিএলএস 1.2 সমর্থন করে:

  • এসকিউএল সার্ভার ২০০৮
  • এসকিউএল সার্ভার 2008 আর 2
  • এসকিউএল সার্ভার 2012; এবং
  • এসকিউএল সার্ভার 2014

... এবং প্রধান ক্লায়েন্ট ড্রাইভার যেমন:

  • সার্ভার নেটিভ ক্লায়েন্ট
  • এসকিউএল সার্ভারের জন্য মাইক্রোসফ্ট ওডিবিসি ড্রাইভার
  • এসকিউএল সার্ভারের জন্য মাইক্রোসফ্ট জেডিবিসি ড্রাইভার
  • ADO.NET (SQLlClient)।

রিলিজ সম্পর্কে এসকিউএল সার্ভার ইঞ্জিনিয়ারিং টিমের ব্লগ পোস্ট:

TLS 1.2 এসকিউএল সার্ভারের জন্য সমর্থন 2008, 2008 আর 2, 2012 এবং 2014

ক্লায়েন্ট এবং সার্ভার উপাদান উপাদান ডাউনলোডের (KB3135244) পাশাপাশি টিএলএস 1.2 সমর্থন করে এমন বিল্ডগুলির তালিকা:

মাইক্রোসফ্ট এসকিউএল সার্ভারের জন্য টিএলএস 1.2 সমর্থন (ডিবি মেলের জন্য। নেট ফিক্সগুলি অন্তর্ভুক্ত)

দ্রষ্টব্য: এসকিউএল সার্ভার ২০০৮ বা এসকিউএল সার্ভার ২০০৮ আর 2 এর সংযোগের সাথে সংযোগ স্থাপনের সময় অবিচ্ছিন্ন পরিষেবাটি সমাপ্তির কারণে মূল আপডেটে কোনও ত্রুটি মোকাবেলার জন্য প্রাথমিক প্রকাশের পরে উপরের অংশটি আপডেট করা হয়েছে । এটি কেবি 3146034 তে বর্ণিত হয়েছে:

আপনি KB3135244 থেকে যে কোনও এসকিউএল সার্ভার ২০০৮ বা এসকিউএল সার্ভার ২০০৮ আর 2 সংস্করণ ইনস্টল করার পরে অবিচ্ছিন্ন পরিষেবা অবসান ঘটে

অমিত ব্যানার্জি
সূত্র
2

আমি নিশ্চিত করতে পারি যে এসকিউএল ২০১২ এসপি 2 সিইউ 7 হিসাবে, যার সিইউ 6 থেকে এসকিউএল 2012 এর জন্য টিএলএস 1.2 সমর্থন রয়েছে, আপনি সার্ভার স্তরে টিএলএস 1.0 অক্ষম করতে পারবেন না এবং উদাহরণস্বরূপ একটি এনক্রিপ্টড ম্যানেজমেন্ট স্টুডিও সংযোগ ব্যবহার করে এসকিউএল সার্ভারের সাথে সংযোগ করতে সক্ষম হবেন না যা ক্লায়েন্ট এনক্রিপশন জোর করে না।

এটি এমন একটি উদাহরণ যা টিডিই বা অন্যান্য শংসাপত্র ব্যবহার করে না।

সার্ভারের জন্য একটি বিশ্বস্ত শংসাপত্র তৈরি এবং এনক্রিপ্ট করা সংযোগ সক্ষম করার পরে আমি আগামীকাল চেষ্টা করব, তবে এই সময়ে টিএলএস 1.0 এসকিউএল 2012 এ অক্ষম করা যায় না, যদিও এটি টিএলএস 1.2 সমর্থন করে।

সম্পাদনা:

আমি আমাদের অভ্যন্তরীণ শংসাপত্র কর্তৃপক্ষের থেকে ডেটাবেস সার্ভারের জন্য একটি শংসাপত্র তৈরি করেছি এবং এসকিউএল সার্ভারের সাথে একটি এনক্রিপ্ট করা ম্যানেজমেন্ট স্টুডিও সংযোগ স্থাপন করতে সক্ষম হয়েছি, যতক্ষণ না টিএলএস 1.0 প্রোটোকল অক্ষম না করা হয়েছিল আমি এই মুহুর্তে আর সংযোগ করতে সক্ষম নই। লগইন সেশনটি এনক্রিপ্ট করার জন্য যখন কোনও শংসাপত্র এবং স্ব-স্বাক্ষরিত সার্টি না থাকা একই আচরণ।

কুপার ভ্যান ভালকেনবার্গ
সূত্র
2

আমি পেয়েছি, এমনকি এসকিউএল 2014 এসপি 1 সিই 1 এর সাথেও আমাকে আইআইএস এবং এসকিউএল এর জন্য পৃথক বাক্স ব্যবহার করতে হয়েছিল। আমি পথে কিছু আপাত-সম্পর্কিত সমস্যাগুলির মধ্যে দৌড়েছি এবং এই পোস্টের পদক্ষেপগুলি বিস্তারিতভাবে জানিয়েছি ।

মূল বিষয়গুলি হ'ল:

  • আইআইএস এবং এসকিউএল পৃথক বাক্সে রাখুন
  • আগত টিএলএস 1.0 অক্ষম করুন এবং আইআইএস বাক্সে আউটগোয়িং টিএলএস 1.0 সক্ষম করুন
  • এসকিউএল বাক্সে TLS1.0 উভয় উপায়ে সক্ষম করুন।
OutstandingBill
সূত্র
1

সামনের এবং পিছনের উভয় সার্ভারে আমি যা করেছি তা এখানে

  1. খোলা gpedit.msc। স্থানীয় গোষ্ঠী নীতি সম্পাদক এ, "কম্পিউটার কনফিগারেশন" নোডের অধীনে "উইন্ডোজ সেটিংস" ডাবল ক্লিক করুন এবং তারপরে "সুরক্ষা সেটিংস" ডাবল ক্লিক করুন।

  2. "সুরক্ষা সেটিংস" নোডের অধীনে, "স্থানীয় নীতিগুলি" ডাবল ক্লিক করুন এবং তারপরে "সুরক্ষা বিকল্পসমূহ" ক্লিক করুন।

  3. বিশদ ফলকটিতে, "সিস্টেমের ক্রিপ্টোগ্রাফি: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষরকরণের জন্য FIPS-সম্মতিযুক্ত অ্যালগরিদম ব্যবহার করুন" ডাবল ক্লিক করুন।

  4. "সিস্টেম ক্রিপ্টোগ্রাফি: এনক্রিপশন, হ্যাশিং এবং স্বাক্ষর করার জন্য" সংযুক্তি সংক্রান্ত অ্যালগরিদম ব্যবহার করুন "ডায়ালগ বাক্সে," সক্ষম "ক্লিক করুন, এবং তারপরে ডায়ালগ বাক্সটি বন্ধ করতে" ঠিক আছে "ক্লিক করুন। স্থানীয় গ্রুপ নীতি সম্পাদক বন্ধ করুন।

মাইকেল জেডিয়েলিস
সূত্র
আমি অনুমান হিসাবে প্রকৃত মূল প্রশ্ন, যার মধ্যে SQL সার্ভার সংস্করণ উল্টোদিকে এই, কিভাবে TLS এর 1.2 সেট আপ করার ঠিকানা হয় না সম্ভবত একটি এসকিউএল ব্যাকএন্ড সঙ্গে একটি ওয়েবসার্ভার উপর, TLS 1.0 এর পরলোক সমর্থন কিছু? যদি সম্ভব হয় তবে দয়া করে উত্তরে এটি পরিষ্কার করুন।
আরডিফোজ
ধন্যবাদ, তবে ... আসল প্রশ্নে, আমি এটিকে কিছুটা সাধারণ করার চেষ্টা করেছি, তবে এটি প্রকাশিত হওয়ার পরে 2015 সালের মাঝামাঝি সময়ে ন্যূনতম প্রয়োজনীয়তা এবং প্রযুক্তির একটি সেট মিলেছে really এটি এখন এত তারিখ হয়ে গেছে যে আমি মনে করি এটি বন্ধ করা উচিত। উপরের মতো এই জাতীয় কোনও উত্তর সম্ভবত প্রশ্নের নতুন সংস্করণকে লক্ষ্য করা উচিত যা আজকের ইস্যুতে আরও ভাল প্রযোজ্য। আমার কাছে বর্তমানে এমন প্রশ্ন নেই myself
গোল্ডফেইন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.