Erreur « Le client ne peut pas établir la connexion » après l’implémentation des stratégies de suite de chiffrement sur un ordinateur SQL Server
Cet article vous aide à résoudre les problèmes qui se produisent après l’implémentation de stratégies de suite de chiffrement sur un serveur. Si les suites de chiffrement prises en charge sur un client et un serveur ne correspondent pas, la connexion peut échouer.
Symptômes
Après avoir implémenté des stratégies de suite de chiffrement sur un serveur, le message d’erreur suivant s’affiche :
Une connexion existante a été fermée de force par l’hôte distant. [SQLSTATE 42000] (Erreur 10054) Le fournisseur OLE DB « » pour le serveur lié « Nom de la base de données » a retourné le message « Le client ne peut pas établir la connexion ».
Cause 1 : Rivest Cipher 4 (RC4) n’est pas inclus
Si une suite de chiffrement n’inclut pas Rivest Cipher 4 (RC4), toute tentative d’utilisation de RC4 pour le chiffrement échoue. De même, si une suite de chiffrement inclut RC4 mais que l’une des parties impliquées ne le fait pas, l’établissement d’une liaison échoue et aucune connexion n’est établie.
Solution
Procédez comme suit :
- Vérifiez si la
msds-supportedEncryptionType
propriété est définie. Si la propriété n’est pas définie, seul RC4 est activé. - Définissez la valeur de cette propriété sur 28 pour activer RC4, AES128 et AES256.
Cause 2 : Incompatibilité dans les versions TLS (Transport Layer Security)
Il existe une incompatibilité dans les versions tls (Transport Layer Security). Ce problème peut se produire si le client initie la connexion à l’aide de TLS 1.0. Les suites de chiffrement modernes ne prennent souvent pas en charge TLS 1.0, car elles préfèrent des versions plus sécurisées, telles que TLS 1.2.
Solution
Procédez comme suit :
Assurez-vous que le pilote client prend en charge TLS 1.2. Si ce n’est pas le cas, mettez à jour le pilote.
Ajoutez les chiffrements suivants à la stratégie locale pour prendre en charge la communication TLS 1.0 :
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA