对客户端到SQL Server服务器之间的连接进行加密，一般来说有两种方法，一种是使用IPSec策略进行加密，一种是使用证书加密。对于前者来说，其工作在网络层，无论应用层如何封装，都可以使用IPSec在网络层对其加密，其适用性很广泛，其不足之处在于要求服务器和客户端双方都要进行加密配置。才可以加密传输数据。在服务器端执行“mmc”命令，在控制台上点击菜单“文件”、“添加/删除管理单元”项，在打开窗口左侧列表中选择“IP安全策略管理”和“IP安全监视器”项，点击“添加”按钮，将其添加进来。

图1 创建IPSec安全策略

在控制台左侧选择“IP安全策略”项，在其右键菜单上点击“创建IP安全策略”项，在向导界面中输入策略名称，点击“完成”按钮，创建该规则。在自动打开的规则属性窗口中点击“添加”按钮，在向导界面中选择“此规则不指定隧道”项，点击“下一步”按钮，选择“所有网络连接”项。在IP筛选器列表窗口中点击“添加”按钮，输入筛选器名称，点击“添加”按钮，在弹出窗口中输入描述信息，在下一步的IP流量源窗口选择“任何IP地址”项，在“IP流量目标”窗口中选择“我的IP地址”项，之后选择“TCP”协议，在IP协议端口窗口（如图1）中选择“从任意端口”项和“到此端口”项，输入默认的1433端口。具体的端口可能会产生变化，需要在SQL Server配置管理器左侧选择“SQL Server网络配置”、“具体的实例名”项，在右侧的“TCP/IP”项的属性窗口中查看实际的端口号。点击“完成”按钮，在IP筛选器列表中选择该筛选器，点击“确定”，在筛选器操作窗口中点击“添加”按钮，输入名称，在下一步窗口中选择“协商安全”项，在身份验证方法窗口中提供了多种验证方式，这里选择“使用此字符串保护密钥交换”项，输入密码。点击“完成”按钮，创建所需的IPSec规则。在该规则的右键菜单上点击“分配”项激活该规则。在客户端执行同样操作来创建和激活对应的IPSec策略，所不同的是在IP流量源窗口中选择“我的IP地址”项，在IP流量目标窗口中选择“一个特定的IP地址或子网”项，输入SQL Server服务器的IP地址。注意，双方身份验证方式必须一致，密码必须相同。如图2所示。

这样，当客户端连接SQL Server服务器时，就处于加密状态，当然，因为双方存在协商的过程，所以连接登录时有迟缓。不过，在实际使用时，因为IPSec策略需要在服务器和客户端都需要配置策略参数，操作起来较繁琐，所以一般使用证书实现SSL加密连接的。当然，这需要证书服务的支持。例如，SQL Server服务器位于域环境中，在DC上配置好Active Directory证书服务，在SQL Server服务器上执行“mmc”命令，点击菜单“文件”、“添加/删除管理单元”项，在列表中选择“证书”项，点击“添加”按钮，选择“计算机账户”项完成添加。

图2 查看SQL Server连接端口

图3 启用SQL Server加密连接

在控制台左侧选择“证书”、“个人”项，在其右键菜单上点击“所有任务”、“申请新证书”项，在向导界面中选择“Active Directory注册策略”项，点击“下一步”按钮，选择“计算机”项，点击“注册”完成证书申请。如果购买了第三方证书，只需点击“所有任务”、“导入”项导入即可。之后运行SQL Server配置管理器，在窗口左侧选择“SQL Server网络配置”、“MSSQLSERVER的协议”项，在其右键菜单上点击“属性”项，在弹出窗口中的“标志”面板中的“强制加密”栏中选择“是”项，在“证书”面板中的选择上述申请的证书，点击确定。之后需要重启SQL Server服务。当客户端进行连接时，在登录窗口中点击“选项”按钮，在“连接属性”面板（如图3）中选择“加密连接”项。在“登录”面板中的“服务器名称”栏中必须输入与证书绑定的域名，而非SQL Server的IP地址。这样，在客户端和服务器之间就可以加密传输数据了。