SQL-Server-Verbindung von JTL-Wawi per SSL absichern
Ihre Aufgabe/Ausgangslage
Schritt 1: Gültiges SSL-Zertifikat erwerben
Zuerst müssen Sie ein gültiges SSL-Zertifikat erwerben. Wir empfehlen, eine der offiziellen, von Microsoft anerkannten Zertifikatsstellen zu verwenden. Für SSL-Zertifikate gibt es kostenlose und kostenpflichtige Lösungen. Jedes Zertifikat wird speziell für den Server ausgestellt, auf dem es verwendet werden soll. Achten Sie deshalb bei der Beantragung darauf, dass Sie als Serveradresse die Adresse angeben, über die Sie über das Internet auf Ihren Server zugreifen können. Sobald Sie ein Zertifikat haben, können Sie mit Schritt 2 weiter machen.
Schritt 2: SSL-Zertifikat in der Managementkonsole einrichten
Melden Sie sich auf dem Computer an, auf dem der SQL-Server für JTL-Wawi läuft.
- Öffnen Sie die Managementkonsole von Microsoft Windows. Das geht am schnellsten, indem Sie das Startmenü öffnen und mmc eingeben.
- Wählen Sie in der Managementkonsole im Menü Datei den Punkt Snap-in hinzufügen/entfernen.
- Wählen Sie den Punkt Zertifikate und klicken Sie auf Hinzufügen. Schließen Sie das Fenster anschließend über OK.
- Wählen Sie unter Konsolenstamm den Punkt Zertifikate – Aktueller Benutzer und markieren Sie dort den Ordner Eigene Zertifikate.
- Klicken Sie mit der rechten Maustaste in den Bereich Objekttyp und wählen Sie den Punkt Alle Aufgaben > Importieren.
- Fügen Sie Ihr Zertifikat hinzu und klicken Sie jeweils auf Weiter, um die Einrichtung abzuschließen.
Schritt 3: SSL-Zertifikat im SQL-Server-Konfigurationsmanager einrichten
Als nächstes müssen Sie das SSL-Zertifikat auch im SQL-Server Konfigurationsmanager einrichten. Dies geschieht ebenfalls auf dem Computer, auf dem der SQL-Server läuft.
- Öffnen Sie den SQL-Server Konfigurationsmanager für Ihre Version von Microsoft SQL-Server über das Startmenü.
- Klicken Sie auf den Punkt SQL-Server Netzwerkkonfiguration.
- Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihren SQL-Server und wählen Sie im Kontextmenü die Option Eigenschaften.
- Setzen Sie im sich nun öffnenden Fenster die Option Force Encryption auf Ja.
- Wechseln Sie anschließend in die Registerkarte Zertifikate und wählen Sie Ihr SSL-Zertifikat aus.
- Schließen Sie das Fenster über die Schaltfläche OK.
- Starten Sie anschließend Ihren SQL-Server neu. Ihre Verbindung ist nun gesichert.
Weitere Tipps zur Datensicherheit
Neben der Absicherung Ihrer Verbindung zum SQL-Server über ein SSL-Zertifikat, gibt es noch weitere Tipps, die Sie umsetzen können, um die Sicherheit Ihrer Daten zu erhöhen.
Unterschiedliche SQL-Benutzer
Standardmäßig greift jeder Anwender von JTL-Wawi über den gleichen SQL-Benutzer auf die Datenbank von JTL-Wawi zu. Wir empfehlen jedoch, für jeden Benutzer, im Normalfall also jeden Mitarbeiter, einen eigenen SQL-Benutzer anzulegen. Das hat verschiedene Vorteile:
So legen Sie neue SQL-Benutzer an:
- Öffnen Sie auf dem Computer, auf dem der SQL-Server läuft, das SQL Server Management Studio. Falls dieses noch nicht auf dem Computer installiert ist, laden Sie es bei Microsoft herunter: Zum Download bei Microsoft.
- Melden Sie sich auf dem SQL-Server von JTL-Wawi an. Klicken Sie im Ordner Sicherheit mit der rechten Maustaste auf den Ordner Anmeldungen und wählen Sie im Kontextmenü Neue Anmeldung.
- Wählen Sie für den neuen Benutzer einen Anmeldenamen und die Option SQL-Server-Authentifizierung. Vergeben Sie auch ein Kennwort. Sie können zusätzlich die Kennwortrichtlinie erzwingen. Dann muss das Kennwort mindestens 12 Zeichen lang sein und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten.
- Wählen Sie unter Serverrollen zudem, welche Rolle der Benutzer haben soll. Hier können Sie z. B. sysadmin wählen, wenn der Nutzer prinzipiell auch Zugriff auf die Datenbankverwaltung haben soll. Wenn Sie mindestens einem Nutzer das Recht sysadmin geben, können Sie später auch den Nutzer sa deaktivieren (siehe unten).
- Schließen Sie das Dialogfenster über die Schaltfläche OK.
- Öffnen Sie anschließend auf dem Computer des Benutzers/Ihres Mitarbeiters JTL-Wawi und wechseln Sie in die Datenbankverwaltung.
- Klicken Sie auf die Schaltfläche Neues Profil.
- Geben Sie dem Profil einen Namen, eine Beschreibung und tragen Sie den Namen Ihres SQL-Servers ein (Servername). Klicken Sie anschließend auf Weiter.
- Geben Sie den Benutzer und das Passwort ein, die Sie in Schritt 3 dieser Anleitung eingetragen haben. Klicken Sie anschließend auf Weiter. Das Profil wurde nun angelegt.
- Der Benutzer/Mitarbeiter kann sich nun mit diesem Profil mit der Datenbank von JTL-Wawi verbinden. Als Anmeldedaten verwendet er weiterhin die Daten, die Sie in der Benutzerverwaltung von JTL-Wawi festgelegt haben.
sa-Passwort ändern
Wenn Sie den Microsoft SQL-Server im Rahmen der Installation von JTL-Wawi installieren, wird dieser das Standard-Passwort sa04jT14 haben. Dieses Passwort ist generell jedem bekannt, der sich mit der Software von JTL auskennt. Wir empfehlen deshalb dringend, das Passwort so anzupassen, dass es sich deutlich von diesem Standard-Passwort unterscheidet.
- Melden Sie sich als Nutzer sa im Microsoft SQL-Server Management Studio an.
- Klappen Sie den Ordner Sicherheit > Anmeldungen aus.
- Klicken Sie mit der rechten Maustaste auf den Nutzer sa und wählen Sie Eigenschaften.
- Geben Sie unter Kennwort das neue Passwort an und bestätigen Sie dieses.
Idealerweise: sa-Benutzer deaktivieren
Sobald Sie andere Benutzer mit dem Recht sysadmin angelegt haben, empfehlen wir sogar, den Benutzer sa komplett zu deaktivieren. Der Nutzer sa existiert bei jedem Microsoft SQL-Server. Dadurch ist er einer der häufigsten Angriffspunkte für Attacken auf die Datenbank.
- Melden Sie sich als Nutzer sa im Microsoft SQL-Server Management Studio an.
- Klappen Sie den Ordner Sicherheit > Anmeldungen aus.
- Klicken Sie mit der rechten Maustaste auf den Nutzer sa und wählen Sie Eigenschaften.
- Wechseln Sie in den Bereich Status und markieren Sie für die Option Anmeldename den Punkt Deaktiviert.
Der Nutzer sa kann nun nicht mehr verwendet werden. Sollten Sie ihn irgendwann wieder benötigen, melden Sie sich mit einem anderen Benutzer, der sysadmin-Rechte hat, an und wiederholen Sie die Schritte 1–4. Wählen Sie lediglich im letzten Schritt die Option Aktiviert.
Verwandte Themen