Inhaltsverzeichnis

    SQL-Server-Verbindung von JTL-Wawi per SSL absichern

    Ihre Aufgabe/Ausgangslage

    Sie betreiben einen über das Internet erreichbaren SQL-Server für JTL-Wawi. Dies ist in der Regel der Fall, wenn Sie Remote arbeiten oder an mehreren Standorten auf JTL-Wawi zugreifen. Die Kommunikation zwischen JTL-Wawi und Ihrer SQL-Datenbank erfolgt standardmäßig im Klartext. Das heißt, jeder, der es schafft, auf den Datenverkehr zuzugreifen, kann auch die Daten in Ihrer SQL-Datenbank lesen. Um dies zu verhindern, möchten Sie nun den Datenverkehr über ein SSL-Zertifikat verschlüsseln.
    Hinweis: Falls Sie das JTL-Wawi Datenbank-Hosting verwenden, ist Ihre Verbindung automatisch per SSL gesichert.

    Schritt 1: Gültiges SSL-Zertifikat erwerben

    Zuerst müssen Sie ein gültiges SSL-Zertifikat erwerben. Wir empfehlen, eine der offiziellen, von Microsoft anerkannten Zertifikatsstellen zu verwenden. Für SSL-Zertifikate gibt es kostenlose und kostenpflichtige Lösungen. Jedes Zertifikat wird speziell für den Server ausgestellt, auf dem es verwendet werden soll. Achten Sie deshalb bei der Beantragung darauf, dass Sie als Serveradresse die Adresse angeben, über die Sie über das Internet auf Ihren Server zugreifen können. Sobald Sie ein Zertifikat haben, können Sie mit Schritt 2 weiter machen.

    Schritt 2: SSL-Zertifikat in der Managementkonsole einrichten

    Melden Sie sich auf dem Computer an, auf dem der SQL-Server für JTL-Wawi läuft.

    1. Öffnen Sie die Managementkonsole von Microsoft Windows. Das geht am schnellsten, indem Sie das Startmenü öffnen und mmc eingeben.
    2. Wählen Sie in der Managementkonsole im Menü Datei den Punkt Snap-in hinzufügen/entfernen.
    1. Wählen Sie den Punkt Zertifikate und klicken Sie auf Hinzufügen. Schließen Sie das Fenster anschließend über OK.
    1. Wählen Sie unter Konsolenstamm den Punkt Zertifikate – Aktueller Benutzer und markieren Sie dort den Ordner Eigene Zertifikate.
    2. Klicken Sie mit der rechten Maustaste in den Bereich Objekttyp und wählen Sie den Punkt Alle Aufgaben > Importieren.
    1. Fügen Sie Ihr Zertifikat hinzu und klicken Sie jeweils auf Weiter, um die Einrichtung abzuschließen.

    Schritt 3: SSL-Zertifikat im SQL-Server-Konfigurationsmanager einrichten

    Als nächstes müssen Sie das SSL-Zertifikat auch im SQL-Server Konfigurationsmanager einrichten. Dies geschieht ebenfalls auf dem Computer, auf dem der SQL-Server läuft.

    1. Öffnen Sie den SQL-Server Konfigurationsmanager für Ihre Version von Microsoft SQL-Server über das Startmenü.
    2. Klicken Sie auf den Punkt SQL-Server Netzwerkkonfiguration.
    3. Klicken Sie mit der rechten Maustaste auf den Eintrag für Ihren SQL-Server und wählen Sie im Kontextmenü die Option Eigenschaften.
    1. Setzen Sie im sich nun öffnenden Fenster die Option Force Encryption auf Ja.
    1. Wechseln Sie anschließend in die Registerkarte Zertifikate und wählen Sie Ihr SSL-Zertifikat aus.
    2. Schließen Sie das Fenster über die Schaltfläche OK.
    3. Starten Sie anschließend Ihren SQL-Server neu. Ihre Verbindung ist nun gesichert.

    Weitere Tipps zur Datensicherheit

    Neben der Absicherung Ihrer Verbindung zum SQL-Server über ein SSL-Zertifikat, gibt es noch weitere Tipps, die Sie umsetzen können, um die Sicherheit Ihrer Daten zu erhöhen.

    Unterschiedliche SQL-Benutzer

    Standardmäßig greift jeder Anwender von JTL-Wawi über den gleichen SQL-Benutzer auf die Datenbank von JTL-Wawi zu. Wir empfehlen jedoch, für jeden Benutzer, im Normalfall also jeden Mitarbeiter, einen eigenen SQL-Benutzer anzulegen. Das hat verschiedene Vorteile:

    • Wenn ein Mitarbeiter das Unternehmen verlässt, kann dessen SQL-Zugang einfach deaktiviert werden. So hat er dann auch keinen Zugriff mehr auf JTL-Wawi.
    • Sie können den sa-Benutzer deaktivieren. Dieser ist häufigster Angriffspunkt auf Microsoft-SQL-Datenbanken.

    So legen Sie neue SQL-Benutzer an:

    1. Öffnen Sie auf dem Computer, auf dem der SQL-Server läuft, das SQL Server Management Studio. Falls dieses noch nicht auf dem Computer installiert ist, laden Sie es bei Microsoft herunter: Zum Download bei Microsoft.
    2. Melden Sie sich auf dem SQL-Server von JTL-Wawi an. Klicken Sie im Ordner Sicherheit mit der rechten Maustaste auf den Ordner Anmeldungen und wählen Sie im Kontextmenü Neue Anmeldung.
    1. Wählen Sie für den neuen Benutzer einen Anmeldenamen und die Option SQL-Server-Authentifizierung. Vergeben Sie auch ein Kennwort. Sie können zusätzlich die Kennwortrichtlinie erzwingen. Dann muss das Kennwort mindestens 12 Zeichen lang sein und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen beinhalten.
    1. Wählen Sie unter Serverrollen zudem, welche Rolle der Benutzer haben soll. Hier können Sie z. B. sysadmin wählen, wenn der Nutzer prinzipiell auch Zugriff auf die Datenbankverwaltung haben soll. Wenn Sie mindestens einem Nutzer das Recht sysadmin geben, können Sie später auch den Nutzer sa deaktivieren (siehe unten).
    1. Schließen Sie das Dialogfenster über die Schaltfläche OK.
    2. Öffnen Sie anschließend auf dem Computer des Benutzers/Ihres Mitarbeiters JTL-Wawi und wechseln Sie in die Datenbankverwaltung.
    3. Klicken Sie auf die Schaltfläche Neues Profil.
    1. Geben Sie dem Profil einen Namen, eine Beschreibung und tragen Sie den Namen Ihres SQL-Servers ein (Servername). Klicken Sie anschließend auf Weiter.
    1. Geben Sie den Benutzer und das Passwort ein, die Sie in Schritt 3 dieser Anleitung eingetragen haben. Klicken Sie anschließend auf Weiter. Das Profil wurde nun angelegt.
    1. Der Benutzer/Mitarbeiter kann sich nun mit diesem Profil mit der Datenbank von JTL-Wawi verbinden. Als Anmeldedaten verwendet er weiterhin die Daten, die Sie in der Benutzerverwaltung von JTL-Wawi festgelegt haben.

    sa-Passwort ändern

    Wenn Sie den Microsoft SQL-Server im Rahmen der Installation von JTL-Wawi installieren, wird dieser das Standard-Passwort sa04jT14 haben. Dieses Passwort ist generell jedem bekannt, der sich mit der Software von JTL auskennt. Wir empfehlen deshalb dringend, das Passwort so anzupassen, dass es sich deutlich von diesem Standard-Passwort unterscheidet.

    1. Melden Sie sich als Nutzer sa im Microsoft SQL-Server Management Studio an.
    2. Klappen Sie den Ordner Sicherheit > Anmeldungen aus.
    3. Klicken Sie mit der rechten Maustaste auf den Nutzer sa und wählen Sie Eigenschaften.
    1. Geben Sie unter Kennwort das neue Passwort an und bestätigen Sie dieses.

    Idealerweise: sa-Benutzer deaktivieren

    Sobald Sie andere Benutzer mit dem Recht sysadmin angelegt haben, empfehlen wir sogar, den Benutzer sa komplett zu deaktivieren. Der Nutzer sa existiert bei jedem Microsoft SQL-Server. Dadurch ist er einer der häufigsten Angriffspunkte für Attacken auf die Datenbank.

    Hinweis: Bitte stellen Sie wirklich sicher, dass Sie mindestens einen anderen Nutzer für die SQL-Datenbank angelegt haben, der das Recht sysadmin besitzt. Lesen Sie dazu die Anleitung weiter oben: Unterschiedliche SQL-Benutzer.
    1. Melden Sie sich als Nutzer sa im Microsoft SQL-Server Management Studio an.
    2. Klappen Sie den Ordner Sicherheit > Anmeldungen aus.
    3. Klicken Sie mit der rechten Maustaste auf den Nutzer sa und wählen Sie Eigenschaften.
    4. Wechseln Sie in den Bereich Status und markieren Sie für die Option Anmeldename den Punkt Deaktiviert.

    Der Nutzer sa kann nun nicht mehr verwendet werden. Sollten Sie ihn irgendwann wieder benötigen, melden Sie sich mit einem anderen Benutzer, der sysadmin-Rechte hat, an und wiederholen Sie die Schritte 1–4. Wählen Sie lediglich im letzten Schritt die Option Aktiviert.