"Force Encryption" vs "Force Protocol Encryption" in SQL Server

Ich versuche zu verstehen, wie sich die verschiedenen Einstellungen auf das Verhalten meiner Server-Client-Kommunikation auswirken. Auf dem Server habe ich eine selbstsignierte Zertifizierungsstelle mit einem ausgestellten Exchange-Zertifikat installiert, das auch für die Verwendung durch meinen SQL-Dienst konfiguriert wurde.

Zuerst möchte ich, dass diese Verbindung fehlschlägt, wenn die Stammzertifizierungsstelle nicht auf dem Client installiert wurde. Aber was auch immer ich tue, es scheint trotzdem zu funktionieren.

Um besser zu verstehen, warum, versuche ich, alle Optionen aufzulisten und welche Auswirkungen sie haben sollten. Aber ich bin nicht sicher, ob ich es richtig verstanden habe ...

Kann mir bitte jemand helfen, die fehlenden Teile hier zu korrigieren und auszufüllen?

Wenn Sie die Einstellung " Verschlüsselung erzwingen " auf dem SQL Server aktivieren :

• In der Praxis entspricht dies der Einstellung Encrypt=True;TrustServerCertificate=True;in meiner Verbindungszeichenfolge. Der Client kann nicht entscheiden, ob die Verschlüsselung verwendet werden soll oder nicht und ob dem Server vertraut werden soll oder nicht.
• Mit dieser Option können einzelne Dienstinstanzen verschlüsselt werden.
• Unterstützt selbstsignierte Austauschzertifikate ohne CA.

Wenn Sie die Einstellung " Protokollverschlüsselung erzwingen " auf dem SQL Server aktivieren :

• Alle Clientverbindungen zu allen Diensten auf dem Server werden verschlüsselt.
• Erfordert ein Austauschzertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde und sowohl auf dem Client als auch auf dem Server verfügbar ist.

Bei Verwendung der Einstellung " Force Protocol Encryption " auf dem Client:

• Dieser einzelne Client erzwingt die Verwendung von SSL und erfordert ein Austauschzertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, die auf diesem Computer verfügbar ist. Ohne sie wird diese Verbindung fehlschlagen.

Wenn Sie die Einstellung " Protokollverschlüsselung erzwingen " auf Server und Client aktivieren :

• Dies wird nicht empfohlen. Aber warum? Was passiert und was wird scheitern?

Wenn Sie sowohl " Force Encryption " als auch " Force Protocol Encryption " auf dem Server aktivieren :

• Was wird das bringen? Ist es wichtig, auf was Force Encryption eingestellt ist, wenn Force Protocol Encryption aktiviert ist?

Der MSDN-Blog von Microsoft enthält eine Tabelle, in der die möglichen Bedingungen und ihre Ergebnisse beschrieben werden.

Unter Selektives Verwenden einer sicheren Verbindung zu SQL Server finden Sie Informationen zu clientseitigen Einstellungen und Optionen für Verbindungseigenschaften, die sich auf sichere Verbindungen nur für den betreffenden Client auswirken. Der Server und andere Clients sind nicht betroffen.