在使用 sqljdbc4(即 Microsoft JDBC Driver for SQL Server)连接 SQL Server 数据库时遇到错误,提示"驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立连接",这通常是由于 SSL 配置问题或证书问题导致的。以下是一些解决此问题的步骤:
- 确认 SQL Server 配置
确保 SQL Server 实例配置为支持 SSL。可以通过 SQL Server Management Studio (SSMS) 检查和配置 SSL 设置:
打开 SSMS 并连接到你的 SQL Server 实例。
右键点击服务器实例,选择"属性"。
在"连接"页面中,确保"使用 SSL"选项被启用。
重启 SQL Server 服务使更改生效。
- 配置 JDBC 连接字符串
在 JDBC 连接字符串中,确保正确设置了 SSL 相关的属性。例如可以使用以下连接字符串格式:
String connectionUrl = "jdbc:sqlserver://hostname:port;databaseName=yourDatabase;encrypt=true;trustServerCertificate=true;";
encrypt=true 指示 JDBC 驱动程序使用 SSL 加密。
trustServerCertificate=true 允许 JDBC 驱动程序信任服务器提供的 SSL 证书,这在开发或测试环境中可以使用,但在生产环境中应使用 trustServerCertificate=false 并提供服务器证书的路径。
- 使用正确的证书
如果选择不信任服务器证书(即使用 trustServerCertificate=false),需要提供服务器的证书路径:
String connectionUrl = "jdbc:sqlserver://hostname:port;databaseName=yourDatabase;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;";
hostNameInCertificate 应设置为服务器的实际主机名。
- 导入服务器证书到 Java Keystore
如果服务器使用了自签名证书或特定的 CA 签名的证书,需要将证书导入到 Java 的 keystore 中。可以使用 keytool 来导入证书:
keytool -import -alias sqlservercert -file path_to_server_certificate.cer -keystore path_to_your_keystore.jks -storepass your_keystore_password
然后,在 JDBC 连接字符串中指定 keystore 的位置和密码:
String connectionUrl = "jdbc:sqlserver://hostname:port;databaseName=yourDatabase;encrypt=true;trustServerCertificate=false;sslProtocol=TLSv1.2;trustStore=path_to_your_keystore.jks;trustStorePassword=your_keystore_password;";
- 检查网络和防火墙设置
确保没有任何网络设备或防火墙阻止了 SSL/TLS 流量。特别是,确保 SQL Server 的端口(默认为 1433)和用于 SSL 的端口(默认为 2382 或其他配置的端口)是开放的。
- 使用正确的 JDBC Driver 版本和 Java 版本
确保使用的 JDBC Driver 与 Java 版本兼容。例如,较新的驱动程序可能不支持较旧的 Java 版本。检查 Microsoft 的官方文档以获取兼容性信息。
按照这些步骤操作后,应该能够解决通过 SSL 连接到 SQL Server 的问题。如果问题仍然存在,请检查 SQL Server 的错误日志以获取更多详细信息,这可能会提供进一步的线索。