Wechseln zu: Navigation, Suche

SQL-Server-Verbindung von JTL-Wawi per SSL absichern


Verwandte Themen:


Ihre Aufgabe / Ausgangslage

Sie betreiben einen über das Internet erreichbaren SQL-Server für JTL-Wawi. Dies ist in der Regel der Fall, wenn Sie Remote arbeiten oder an mehreren Standorten auf JTL-Wawi zugreifen. Die Kommunikation zwischen JTL-Wawi und Ihrer SQL-Datenbank erfolgt standardmäßig im Klartext. Das heißt, jeder, der es schafft, auf den Datenverkehr zuzugreifen, kann auch die Daten in Ihrer SQL-Datenbank lesen. Um dies zu verhindern, möchten Sie nun den Datenverkehr über ein SSL-Zertifikat verschlüsseln.

Hinweis: Falls Sie das JTL-Wawi Datenbank-Hosting verwenden, ist Ihre Verbindung automatisch per SSL gesichert.

Schritt 1: Gültiges SSL-Zertifikat erwerben

Zuerst müssen Sie ein gültiges SSL-Zertifikat erwerben. Wir empfehlen, eine der offiziellen, von Microsoft anerkannten Zertifikatsstellen zu verwenden. Für SSL-Zertifikate gibt es kostenlose und kostenpflichtige Lösungen. Jedes Zertifikat wird speziell für den Server ausgestellt, auf dem es verwendet werden soll. Achten Sie deshalb bei der Beantragung darauf, dass Sie als Serveradresse die Adresse angeben, über die Sie über das Internet auf Ihren Server zugreifen können. Sobald Sie ein Zertifikat haben, können Sie mit Schritt 2 weiter machen.

Schritt 2: SSL-Zertifikat in der Managementkonsole einrichten

Melden Sie sich auf dem Computer an, auf dem der SQL-Server für JTL-Wawi läuft.

Öffnen Sie die Managementkonsole von Microsoft Windows. Das geht am schnellsten, indem Sie das Startmenü öffnen und mmc eingeben.
Wählen Sie in der Managementkonsole im Menü Datei den Punkt Snap-in hinzufügen/entfernen.

Jtl-wawi-installation-001-mmc-snap-in-hinzu.png

Wählen Sie den Punkt Zertifikate und klicken Sie auf Hinzufügen. Schließen Sie das Fenster anschließend über OK.

Jtl-wawi-002-mmx-zertifikat-hinzu.png

Wählen Sie unter Konsolenstamm den Punkt Zertifikate – Aktueller Benutzer und markieren Sie dort den Ordner Eigene Zertifikate.
Klicken Sie mit der rechten Maustaste in den Bereich Objekttyp und wählen Sie den Punkt Alle Aufgaben > Importieren.

Jtl-wawi-003-mmc-zertifikat-importieren.png

Fügen Sie Ihr Zertifikat hinzu und klicken Sie jeweils auf Weiter, um die Einrichtung abzuschließen.

Schritt 3: SSL-Zertifikat im SQL-Server-Konfigurationsmanager einrichten

Als nächstes müssen Sie das SSL-Zertifikat auch im SQL-Server Konfigurationsmanager einrichten. Dies geschieht ebenfalls auf dem Computer, auf dem der SQL-Server läuft.

Öffnen Sie den SQL-Server Konfigurationsmanager für Ihre Version von Microsoft SQL-Server über das Startmenü.
Klicken Sie auf den Punkt SQL-Server Netzwerkkonfiguration.
Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihren SQL-Server und wählen Sie im Kontextmenü die Option Eigenschaften.

Jtl-wawi-installation-001-sql-konfig-eigenschaften.png

Setzen Sie im sich nun öffnenden Fenster die Option Force Encryption auf Ja.

Jtl-wawi-002-sql-konfig-force-encryption.png

Wechseln Sie anschließend in die Registerkarte Zertifikate und wählen Sie Ihr SSL-Zertifikat aus.
Schließen Sie das Fenster über die Schaltfläche OK.
Starten Sie anschließend Ihren SQL-Server neu. Ihre Verbindung ist nun gesichert.

Weitere Tipps zur Datensicherheit

Neben der Absicherung Ihrer Verbindung zum SQL-Server über ein SSL-Zertifikat, gibt es noch weitere Tipps, die Sie umsetzen können, um die Sicherheit Ihrer Daten zu erhöhen.

Unterschiedliche SQL-Benutzer

Standardmäßig greift jeder Anwender von JTL-Wawi über den gleichen SQL-Benutzer auf die Datenbank von JTL-Wawi zu. Wir empfehlen jedoch, für jeden Benutzer, im Normalfall also jeden Mitarbeiter, einen eigenen SQL-Benutzer anzulegen. Das hat verschiedene Vorteile:

    1. Wenn ein Mitarbeiter das Unternehmen verlässt, kann dessen SQL-Zugang einfach deaktiviert werden. So hat er dann auch keinen Zugriff mehr auf JTL-Wawi.
    2. Sie können den sa-Benutzer deaktivieren. Dieser ist häufigster Angriffspunkt auf Microsoft-SQL-Datenbanken.

So legen Sie neue SQL-Benutzer an:

Öffnen Sie auf dem Computer, auf dem der SQL-Server läuft, das SQL Server Management Studio. Falls dieses noch nicht auf dem Computer installiert ist, laden Sie es bei Microsoft herunter: Zum Download bei Microsoft.
Melden Sie sich auf dem SQL-Server von JTL-Wawi an. Klicken Sie im Ordner Sicherheit mit der rechten Maustaste auf den Ordner Anmeldungen und wählen Sie im Kontextmenü Neue Anmeldung.

Jtl-wawi-installation-001-ssl-verbindung-eigene-sql-benutzer-neue-anmeldung.png

Wählen Sie für den neuen Benutzer einen Anmeldenamen und die Option SQL-Server-Authentifizierung. Vergeben Sie auch ein Kennwort. Sie können zusätzlich die Kennwortrichtlinie erzwingen. Dann muss das Kennwort mindestens 12 Zeichen lang sein und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten.

Jtl-wawi-installation-002-ssl-neuer-sql-nutzer-allgemein.png

Wählen Sie unter Serverrollen zudem, welche Rolle der Benutzer haben soll. Hier können Sie z. B. sysadmin wählen, wenn der Nutzer prinzipiell auch Zugriff auf die Datenbankverwaltung haben soll. Wenn Sie mindestens einem Nutzer das Recht sysadmin geben, können Sie später auch den Nutzer sa deaktivieren (siehe unten).

Jtl-wawi-installation-003-ssl-neuer-benutzer-serverrollen.png

Schließen Sie das Dialogfenster über die Schaltfläche OK.
Öffnen Sie anschließend auf dem Computer des Benutzers/Ihres Mitarbeiters JTL-Wawi und wechseln Sie in die Datenbankverwaltung.
Klicken Sie auf die Schaltfläche Neues Profil.

Jtl-wawi-installation-004-neues-sql-benutzerprofil.png

Geben Sie dem Profil einen Namen, eine Beschreibung und tragen Sie den Namen Ihres SQL-Servers ein (Servername). Klicken Sie anschließend auf Weiter.

Jtl-wawi-installation-005-neues-profil-anmeldedaten.png

Geben Sie den Benutzer und das Passwort ein, die Sie in Schritt 3 dieser Anleitung eingetragen haben. Klicken Sie anschließend auf Weiter. Das Profil wurde nun angelegt.

Jtl-wawi-installation-006-anmeldedaten-neues-profil.png

Der Benutzer/Mitarbeiter kann sich nun mit diesem Profil mit der Datenbank von JTL-Wawi verbinden. Als Anmeldedaten verwendet er weiterhin die Daten, die Sie in der Benutzerverwaltung von JTL-Wawi festgelegt haben.

Jtl-wawi-installation-007-neues-profil-login-in-jtl-wawi.png

sa-Passwort ändern

Wenn Sie den Microsoft SQL-Server im Rahmen der Installation von JTL-Wawi installieren, wird dieser das Standard-Passwort sa04jT14 haben. Dieses Passwort ist generell jedem bekannt, der sich mit der Software von JTL auskennt. Wir empfehlen deshalb dringend, das Passwort so anzupassen, dass es sich deutlich von diesem Standard-Passwort unterscheidet.

Melden Sie sich als Nutzer sa im Microsoft SQL-Server Management Studio an.
Klappen Sie den Ordner Sicherheit > Anmeldungen aus.
Klicken Sie mit der rechten Maustaste auf den Nutzer sa und wählen Sie Eigenschaften.

Jtl-wawi-installation-001-sa-passwort-eigenschaften.png

Geben Sie unter Kennwort das neue Passwort an und bestätigen Sie dieses.

Jtl-wawi-installation-002-sa-passwort-anpassen.png

Idealerweise: sa-Benutzer deaktivieren

Sobald Sie andere Benutzer mit dem Recht sysadmin angelegt haben, empfehlen wir sogar, den Benutzer sa komplett zu deaktivieren. Der Nutzer sa existiert bei jedem Microsoft SQL-Server. Dadurch ist er einer der häufigsten Angriffspunkte für Attacken auf die Datenbank.

Hinweis: Bitte stellen Sie wirklich sicher, dass Sie mindestens einen anderen Nutzer für die SQL-Datenbank angelegt haben, der das Recht sysadmin besitzt. Lesen Sie dazu die Anleitung weiter oben: Unterschiedliche SQL-Benutzer.
Melden Sie sich als Nutzer sa im Microsoft SQL-Server Management Studio an.
Klappen Sie den Ordner Sicherheit > Anmeldungen aus.
Klicken Sie mit der rechten Maustaste auf den Nutzer sa und wählen Sie Eigenschaften.
Wechseln Sie in den Bereich Status und markieren Sie für die Option Anmeldename den Punkt Deaktiviert.

Jtl-wawi-installation-001-sa-nutzer-deaktivieren.png

Der Nutzer sa kann nun nicht mehr verwendet werden. Sollten Sie ihn irgendwann wieder benötigen, melden Sie sich mit einem anderen Benutzer, der sysadmin-Rechte hat, an und wiederholen Sie die Schritte 1–4. Wählen Sie lediglich im letzten Schritt die Option Aktiviert.


Wie geht es weiter?