none
SQL2016 SSL強度 RRS feed

  • 問題

  • 各位前輩好

         小弟的一個軟體有使用到SQL2016...最近使用Nessus 被掃描出兩個中級問題,都是強度不足

    因為小弟只懂Windows怎樣發送SSL憑證,不熟SQL。所以對於SQL自發的SSL證書怎要重新調整實在不知道怎樣處理(基本上小弟只是因為軟體要用SQL當DB所以才安裝)。

    不知道哪位前輩可以指導一下或者是指引小弟哪份文件可以參考設定的...

    謝謝


    wyldkao

    2018年8月31日 下午 11:46

所有回覆

  • 這是因為您 SQL Server 使用 "自我簽屬 (Self-Signed) 憑證" 的金鑰長度不足導致的!

    至於要設定 SQL 憑證的方式,請參考下列資料:
    https://thedataspecialist.wordpress.com/2013/03/12/using-a-self-signed-ssl-certificate-with-sql-server/

    2018年9月3日 上午 01:29
  • 許老師 您好

             這篇文章看起來是使用Windows CA去做較高強度的憑證,但是小弟環境中的Windows 不允許額外安裝IIS與CA..有其他方式可以讓SQL去利用同樣的自我簽暑的方式換發長度較長的憑證嗎??

    感謝您

    wyldkao


    wyldkao

    2018年9月3日 上午 02:04
  • 許老師 您好

         關於SQL2016憑證,我剛看了一下組態管理元,我的強制使用Encryption設定是[否],表示目前應該是沒有使用,且我也真的沒有需要。有辦法強制SQL2016 不要有證書相關的使用嗎? 目前只想避開這個弱點掃描(因為實務上也真的沒有需要使用到證書加密服務)

    謝謝!!~~


    wyldkao

    2018年9月3日 上午 02:24
  • 使用 SQL Server 組態管理員,"停用" SQL Server 個體的 ForceEncryption 設定後,連線至 SQL Server 就不會再使用此自我簽屬憑證進行 SSL 保護了! 至於要提升安全,還是需要 CA 發出的憑證才作得到,方法如下:

    如何:啟用 Database Engine 的加密連接 (SQL Server 組態管理員)
    https://docs.microsoft.com/zh-tw/previous-versions/sql/sql-server-2005/ms191192(v=sql.90)

    2018年9月3日 上午 05:06
  • 許老師

         感謝您的回應,我照您的方式確認,預設SQL2016該設定項目是"否",

    只是我用Nessus進行掃描後如下面的圖還是顯示TCP1433被偵測出 "

    SSL Certificate Signed Using Weak Hashing Algorithm

    "

    由於與該SQL連接的應用程式應該是使用非加密方式,所以學生只想把這證書資訊避開..有機會達成學生的目標嗎??


    wyldkao

    2018年9月3日 上午 06:05
  • ".....有其他方式可以讓SQL去利用同樣的自我簽暑的方式換發長度較長的憑證嗎??...."

    可以參考一下這篇
    Creating and Registering SSL Certificates

    2018年9月3日 上午 07:51