使用 SQL Server Management Studio 連線
本文說明如何使用 SQL Server Management Studio 20 和更新版本連線到 SQL Server Database Engine,以取得下列產品和服務:
- SQL Server
- Azure SQL Database
- Azure SQL 受控實例
- Azure Synapse Analytics
加密方式變更
SQL Server Management Studio (SSMS) 20 包含與連線加密相關的重要安全性改進,而且包含許多變更。
- Encrypt 連線 屬性已重新命名為 Encryption。
- True 的值(在已選擇或已啟用 [加密連線] 選項的情況下)現在會對應至 必要 的 加密。
- False 的值(未核取或停用加密連線 選項],現在會對應至 [加密]的 [選擇性]。
- Encryption 屬性現在預設會設定為 強制。
- 加密 屬性包含新的選項,Strict (SQL Server 2022 和 Azure SQL),舊版 SSMS 中無法使用。
此外,加密 和 信任伺服器證書 屬性已移至 [連線安全性]下的 [登入] 頁面。 憑證 中已新增一個新選項:主機名稱。 最佳做法 是支援與伺服器的受信任加密連線。
若要加密連線,SQL Server 資料庫引擎必須以受信任的跟證書授權單位所簽署的 TLS 憑證進行設定。
針對連線到 Azure SQL Database 和 Azure SQL 受控實例的使用者,最近使用過 (MRU) 清單中的現有連線應更新為使用 Strict (SQL Server 2022 和 Azure SQL) 加密。 任何與 Azure SQL Database 和 Azure SQL 受控實例的新連線都應該使用 Strict (SQL Server 2022 和 Azure SQL) 加密。 Azure SQL Database 和 Azure SQL 受控實例支援加密的連線,並使用受信任的憑證進行設定。
選取 Strict (SQL Server 2022 和 Azure SQL) 加密後,無法使用 [信任伺服器證書] 選項。
選取 [強制 加密],並啟用(已核取)[信任伺服器證書],則在憑證中的 [主機名] 選項將無法使用。
對於連接到內部部署 SQL Server 或虛擬機中的 SQL Server 的使用者,資料庫引擎必須被設定為支持加密連線。 如需完整指示,請參閱 設定 SQL Server Database Engine 以加密連線。
如果 Database Engine 已啟用 強制加密 或 強制嚴格加密 啟用,請確定您有來自受信任證書頒發機構單位的憑證。 如需詳細資訊,請參閱 SQL Server 憑證需求。 如果您沒有來自受信任證書頒發機構單位的憑證,而且您嘗試連線,您會看到錯誤:
螢幕快照中的文字會顯示類似下列範例的錯誤:
無法連線到 MyServer
已成功與伺服器建立連線,但在登入程式期間發生錯誤。 (提供者:SSL 提供者,錯誤:0 - > 憑證鏈結是由不受信任的授權單位所簽發。(Microsoft SQL Server 錯誤: -2146893019)如需說明,請按兩下:
https://docs.microsoft.com/sql/relational-databases/errors-events/mssqlserver--2146893019-database-engine-error憑證鏈結是由不受信任的授權單位所簽發
如需詳細資訊,請參閱當您連線到 SQL Server 時,「從遠端伺服器收到的憑證是由不受信任的證書頒發機構單位發出」錯誤。
SQL Server Management Studio 20 和更新版本中的新連線
針對新安裝 SSMS 或新增連線的工作站:
- 在 [物件總管] 中選取 [Connect],或在 [檔案] 中使用 [新增查詢] >>,與目前的連接。
- 在 [連線到伺服器] 對話框中,設定伺服器的連線詳細數據。
連接詳細描述
下表描述連線詳細數據。
| 設定 | 描述 |
|---|---|
| 伺服器名稱 | 在這裡輸入伺服器名稱。 例如,MyServer 或 MyServer\MyInstance 或 localhost。 |
| 驗證 | 選取要使用的驗證類型。 |
| 用戶名稱 | 輸入要驗證的用戶名稱。 如果選取了 [Windows 驗證] 作為 驗證 類型,則會自動填入使用者名稱。 當您使用 Microsoft Entra MFA 時,用戶名稱可以保留空白。 |
| 密碼 | 輸入用戶的密碼(如果有的話)。 特定 驗證 類型無法使用密碼欄位。 |
| * 加密1 | 選取連線的加密層級。 預設值 強制。 |
| 信任伺服器證書 | 核取此選項以略過伺服器證書驗證。 默認值為 假(未勾選),這會使用受信任的憑證來提升安全性。 |
| 憑證中主機名 | 此選項中提供的值用於指定一個不同但預期的 CN 或 SAN,以用於 SSMS 所連接之伺服器的伺服器憑證。 此選項可以保留空白,因此憑證驗證可確保憑證中的一般名稱 (CN) 或主體替代名稱 (SAN) 符合您要連線的伺服器名稱。 當伺服器名稱不符合 CN 或 SAN 時,例如,使用 DNS 別名時,就可以填入此參數。 如需詳細資訊,請參閱 Microsoft.Data.SqlClient中的加密和憑證驗證。 |
1 用戶選取的值代表所需的最低加密層級。 SSMS 會與 SQL 引擎交涉(透過驅動程式)來判斷所使用的加密,而且可以使用不同(但更安全的)加密層級來建立連線。 例如,如果您針對 [加密] 選項選取 [選擇性],且伺服器已啟用 [強制加密] 且信任的憑證,則會加密連線。
升級至 SQL Server Management Studio 20 之後的連線
在 SQL Server Management Studio 20 的初始啟動期間,系統會提示您從舊版 SSMS 匯入設定。 如果您選取 [從 SSMS 19 匯入] 或 [從 SSMS 18 匯入],則會從選取的 SSMS 版本匯入最近使用的連線清單。
針對從 SSMS 18 或 SSMS 19 匯入設定的工作站:
- 在 [物件總管]中,選取 [連接],或選擇 [檔案] 並使用目前連接的 [新增查詢] >>。
- 在 [連線到伺服器] 對話框中,選取您要連線的伺服器。
- 檢閱為現有連線選取 加密 和 信任伺服器證書 的選項。 在某些情況下,可能需要設定已簽署的憑證,或變更一或兩個屬性的值。
- 如果您先前已將 [加密] 設定為 [強制],且 SQL Server 未啟用加密連線或沒有已簽署憑證,系統會提示您啟用 [信任伺服器證書] 選項:
![提示要求啟用連線 [信任伺服器證書] 的螢幕快照。](media/ssms-connect/ssms-prompt-trust-server-certificate.png)
- 如果您選取 [是],連線將啟用 [信任伺服器證書]。 您也可以針對從舊版 SSMS 匯入的所有連線啟用 信任伺服器證書。
- 如果您選取 [否],[信任伺服器證書] 未啟用,且無法連線。 檢閱組態,以確認已安裝有效的伺服器證書。
如需詳細資訊,請參閱 設定 SQL Server Database Engine 來加密連線。
備註
這些變更是 Microsoft.Data.SqlClient 中驅動程式層級更新的結果。 Microsoft.Data.SqlClient 的最新版本在連線選項中提供更高的安全性。 如需詳細資訊,請參閱 Microsoft.Data.SqlClient 命名空間簡介。
相關內容
- 快速入門:使用 SQL Server Management Studio 連線及查詢 SQL Server 實例
- 快速入門:使用 SQL Server Management Studio (SSMS) 在 Azure 虛擬機上連線和查詢 SQL Server 實例
- 快速入門:使用 SQL Server Management Studio 連線和查詢 Azure SQL Database 或 Azure SQL 受控實例
- 快速入門:使用 SQL Server Management Studio (SSMS) 在 Azure Synapse Analytics 中聯機和查詢專用 SQL 集區 (先前稱為 SQL DW)