我已经购买了SSL证书,并使用我的远程系统上的IIS安装了它。因此,我可以使用https://myremotesite.co.uk访问我的远程系统。一切都很好,似乎工作;用户可以注册并登录我的远程站点并下载我的GUI来运行我的应用程序,该应用程序存储和检索我的SQL Server数据库中的数据。
当用户运行我的GUI来访问我的应用程序时,它会提示他们输入登录ID和密码,如果他们经过身份验证,我的应用程序会弹出他们的屏幕。一切都很好,一切似乎都很好。
但是,我已经读过可以使用SSL证书限制对SQL Server数据库本身的访问,为此我需要在我的GUI用于检查身份验证的连接字符串中使用“Encrypt = yes”。
我有必要这样做吗?或者仅依靠IIS HTTPS服务是安全的吗?所以我的问题是......我是否需要在IIS和SQL Server中注册我的SSL证书,或者只注册其中一个,如果是,那么哪一个?
感谢到目前为止的答案..为了进一步解释,GUI连接到IIS控制的网站,该网站具有为执行一组受限制的数据库查询而编写的特定处理程序。所以我的数据库驻留在我的服务器上,但它只允许我的服务器(本地)IIS“登录”并插入,更新和提取数据。
一旦IIS网站服务提取了数据,它就会将其返回给GUI。因此GUI没有对数据库的DIRECT访问权限。我关心的是 - 如果 - 通过某种恶意手段 - 数据库被完整复制了......在这种情况下我能否/我应该使用我的SSL证书来加密敏感数据?