SSL Certificate Signed Using Weak Hashing Algorithm – TCP – 1433 – high

Microsoft SQL-Server erstellen beim Installieren ein eigenes für die verschlüsselte Kommunikation (Datenbankmodul) vorgesehenes Zertifikat.

SQL-Server, bei denen noch immer SHA1-Zertifikate (schwache Cipher) vorhanden und eingesetzt werden, sollten schnellstmöglich ausgetauscht werden.

In der Registry findet ihr den passenden Wert an dieser Stelle:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL13.MSSQLSERVER\MSSQLServer\SuperSocketNetLib “Certificate”

Hier sollte nach der Zuweisung des neuen Zertifikats der Thumbprint des neuen Zertifikats automatisch eingetragen werden.

Nachdem ihr das neue Zertifikat erstellt habt gehen wir zum SSCM.

Im SQL Server Configuration Manager nehmen wir die nötigen Anpassungen vor. Aktivieren das neue Zertifikat über den TAB Certificate und aktivieren die SSL Encryption “Force Encryption=yes“. Starten den SQL Dienst einmal durch. Fertig.

Wer keine eigene CA hat, kann das oder die benötigten Zertifikate mit OpenSSL erstellen. Im Folgenden kann diese Konfigurationsdatei (SQLConfig.txt) eingesetzt werden.

SSL Self Signed Fallback SQL Server

Hier ein Beispiel, wie sich ein Zertifikat für die verschlüsselte Kommunikation (Datenbankmodul) erstellen lässt.

OpenSSL und SQLConfig.txt

SQLConfig.txt

distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
C = DE
ST = NRW
L = Essen
O = DWP GmbH
CN = Servername.dwp.de

[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = Servername.dwp.de
DNS.2 = Servername
IP.1 = 172.18.32.155

Schlüssel und Zertifikat erstellen

openssl.exe req -x509 -nodes -days 730 -newkey rsa:2048 -keyout C:\Temp\cert.pem -out C:\Temp\cert.pem -config .\SQLConfig.txt

openssl.exe pkcs12 -export -out C:\Temp\cert.pfx -in C:\Temp\cert.pem -name “Servername (SQLCert)” -passout pass:Kennwort123

SQL Fallback Certificates