Как создать зашифрованное соединение с SQL Server из Ubuntu с помощью PHP / PDO

Question

Как создать зашифрованное соединение с SQL Server из Ubuntu с помощью PHP / PDO

7

Я пытаюсь подключиться к SQL Server из приложения PHP/Zend Framework, работающего на Ubuntu и в удаленном месте.

Я пытаюсь заставить подключающееся приложение запрашивать шифрование с SQL Server (так как соединение по умолчанию на 1433 находится в явном виде, и я не хочу, чтобы мои учетные данные были обнюханы).

Я настроил SSL-сертификат подстановки на SQL Server, и я создаю соединение PDO со следующим DSN:

dblib:host=server-not-matching-domain.com:1433;dbname=MyDB;Encrypt=true;TrustServerCertificate=false;charset=

Взято из http://blogs.msdn.com/b/brian_swan/archive/2011/03/08/sql-server-driver-for-php-connection-options-encrypt.aspx

Так как имя хоста не соответствует установленному сертификату, я ожидаю, что соединение завершится неудачно - но это не сработает.

HorusKol 04 май 2015, в 09:57

Источник

0

Когда вы говорите, что у вас есть SSL-сертификат с символом подстановки, с какими CN совпадает этот сертификат? Я подозреваю, что драйвер может никогда не выполнить реальный CN для проверки имени хоста; TrustServerCertificate = false только предотвращает самозаверяющие сертификаты.
mjec 10 фев. 2017, в 14:40
0

Дело в том, что имя хоста абсолютно не совпадает с подстановочным доменом, поэтому я ожидаю ошибки. Если я не получу ошибку сертификата в этом сценарии, я не могу доверять соединению, когда имя хоста действительно совпадает.
HorusKol 10 фев. 2017, в 22:51
0

Интересно - кажется, мой вопрос был продублирован: stackoverflow.com/questions/34875958/… - есть хорошие ответы тут и там ... какой протокол?
HorusKol 14 фев. 2017, в 22:19
0

Можете ли вы точно проверить, какой драйвер вы используете и что клиент является Ubuntu? sqlncli-11.0.1790.0?
ficuscr 14 фев. 2017, в 22:25
0

Я спрашиваю, потому что в прошлый раз я попробовал этот freetds был в смеси. PDO_SQLSRV - только для Windows. Может быть, вы должны добавить в freetds.conf / odbc.ini ... encryption=require и check certificate hostname ?
ficuscr 14 фев. 2017, в 22:40
0

Если честно - моему вопросу пару лет, и моя потребность в ответе прошла, так как мы больше не подключаемся напрямую к SQL Server, а через зашифрованный веб-интерфейс. Однако, если вы посмотрите на DSN, я использую dblib, а не sqlsrv в качестве драйвера PDO. Я собираюсь ответить на этот вопрос в пользу нового дубликата, поскольку он содержит соответствующую информацию о freetds и ODBC.
HorusKol 14 фев. 2017, в 22:45
0

Возможно дублирование PHP подключения к MS SQL с SSL
HorusKol 14 фев. 2017, в 22:45

Показать ещё 5 комментариев

Теги:

php

sql-server

ubuntu

pdo

3 ответа

Ещё вопросы

Когда вы говорите, что у вас есть SSL-сертификат с символом подстановки, с какими CN совпадает этот сертификат? Я подозреваю, что драйвер может никогда не выполнить реальный CN для проверки имени хоста; TrustServerCertificate = false только предотвращает самозаверяющие сертификаты.
Дело в том, что имя хоста абсолютно не совпадает с подстановочным доменом, поэтому я ожидаю ошибки. Если я не получу ошибку сертификата в этом сценарии, я не могу доверять соединению, когда имя хоста действительно совпадает.
Интересно - кажется, мой вопрос был продублирован: stackoverflow.com/questions/34875958/… - есть хорошие ответы тут и там ... какой протокол?
Можете ли вы точно проверить, какой драйвер вы используете и что клиент является Ubuntu? sqlncli-11.0.1790.0?
Я спрашиваю, потому что в прошлый раз я попробовал этот freetds был в смеси. PDO_SQLSRV - только для Windows. Может быть, вы должны добавить в freetds.conf / odbc.ini ... encryption=require и check certificate hostname ?
Если честно - моему вопросу пару лет, и моя потребность в ответе прошла, так как мы больше не подключаемся напрямую к SQL Server, а через зашифрованный веб-интерфейс. Однако, если вы посмотрите на DSN, я использую dblib, а не sqlsrv в качестве драйвера PDO. Я собираюсь ответить на этот вопрос в пользу нового дубликата, поскольку он содержит соответствующую информацию о freetds и ODBC.
Возможно дублирование PHP подключения к MS SQL с SSL

Peter Darmis · Answer 1 · 2017-02-12T15-05-00.000Z

Может ли быть, что Encrypt=true;TrustServerCertificate вообще не рассматриваются? Не являясь экспертом по этому вопросу, ознакомьтесь с документацией в PHP в отношении PDO_DBLIB DSN. Как записано, в DSN есть специальный параметр, который называется secure и в настоящее время не используется. Я не уверен, что это должен быть правильный способ объявить, что вы хотите иметь безопасное соединение в этом DSN, и это также не совсем полезно, поскольку он помечен как unused.

Кроме того, сделайте следующее

В php.ini убедитесь, что установлено следующее: mssql.secure_connection = On

Посмотрите, лучше ли подключение через PDO_ODBC к тому, чего вы хотите достичь. Для подключения через PDO_ODBC проверьте этот пример

Спасибо, что заставили меня перечитать руководство еще раз
@HorusKol нет необходимости, приятель, я всегда проверяю это на случай, если что-то изменилось или я что-то забыл. В конце концов, мы в этой игре, потому что в основном мы читатели ... нам нравится читать и решать. :) ура

Mohit_ · Answer 2 · 2017-02-13T19-48-00.000Z

попробуйте установить AES ENCRYPTION CERTIFICATE, это лучшее, что я использовал для защиты учетных данных от обнюхивания

dblib:host=server-not-matching-domain.com:1433;dbname=MyDB;Encrypt=true;TrustServerCertificate=true;charset=utf8

сделать значение по умолчанию true для ssl crtificate в файле php.ini а затем обработать с помощью AES

Prasad Paranjape · Answer 3 · 2017-02-10T14-56-00.000Z

Это сложнее, чем просто установить флаг.

Отправить этот блог: http://www.madirish.net/214

Вам нужно будет создать или установить сертификат ssl на сервере mysql.
в my.cnf выполните следующие настройки:

SSL-са =/и т.д. /SSL/MySQL/server.csr
SSL-сертификат =/и т.д. /SSL/MySQL/server.cert
ssl-key =/etc/ssl/mysql/server.key
перезапустить mysql: mysqld restart
Создание клиентских ключей
Отправьте эти ключи вместе с именем пользователя и паролем.

После ответов в stackoverflow подробно объясните:

Подключение к удаленному серверу MySQL с помощью SSL с PHP

Подключения SSL к MySQL

Надеюсь, что это поможет.

Можете ли вы процитировать соответствующие части статьи? Я мог бы принять ответ, если бы это было больше, чем просто ссылка, которая может гнить
Этот вопрос помечен как sql-server , обозначающий Microsoft SQL Server. Ваш ответ для MySQL, который является другим продуктом СУБД.