Utilizzare i certificati SSL/TLS per criptare le connessioni di rete

Ogni connessione stabilita da Database Migration Service al database di origine può essere configurata per utilizzare la crittografia SSL/TLS (Secure Socket Layer/Transport Security Layer). Questa pagina fornisce una panoramica delle varianti di crittografia SSL/TLS disponibili e i passaggi necessari per utilizzarle per il job di migrazione.

SSL/TLS è consigliato principalmente per le connessioni create su reti pubbliche in cui devi esporre un indirizzo IP pubblico e una porta per il database. Indipendentemente dal metodo di connettività di rete utilizzato, lo scenario potrebbe richiedere l'utilizzo di crittografia aggiuntiva.

Le connessioni al database di destinazione sono sempre criptate da Database Migration Service. Non è necessario configurare certificati aggiuntivi per queste connessioni.

Per capire come Database Migration Service utilizza la crittografia SSL/TLS, è importante ricordare che, in merito alla collegabilità di rete, Database Migration Service è considerato il client e il database (di origine o di destinazione) è il server. Database Migration Service supporta le seguenti varianti di crittografia:

Nessuno
Quando Database Migration Service stabilisce una connessione con il tuo database, non invia alcuna stringa di configurazione SSL. Non presenta alcun certificato client al server e non verifica alcun certificato del server.
TLS

Quando Database Migration Service si connette al database, dichiara che la connessione è stabilita tramite un canale protetto. Database Migration Service non presenta un certificato client al server, ma convalida l'autorità di certificazione (CA) del server per assicurarsi che si stia connettendo all'host corretto. In questo modo si evitano attacchi man-in-the-middle.

Per utilizzare l'autenticazione TLS, devi fornire il certificato x509 con codifica PEM dell'autorità di certificazione (CA) che ha firmato il certificato del server di database.

Passaggi successivi