Με την ενεργοποίηση κρυπτογράφησης SSL για τον SQL Server 2000, εάν έχετε έναν έγκυρο διακομιστή πιστοποιητικών

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 276553 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο βήμα προς βήμα παραθέτει τα βήματα που πρέπει να χρησιμοποιήσετε για να ενεργοποιήσετε την κρυπτογράφηση Secure Socket Layer (SSL) για τον Microsoft SQL Server 2000 εάν έχετε έναν έγκυρο διακομιστή πιστοποιητικών στο περιβάλλον του δικτύου σας. Εάν έχετε προμηθευτεί πιστοποιητικά από έναν προμηθευτή άλλου κατασκευαστή πιστοποιητικό, ακολουθήστε τις οδηγίες που παρέχονται από τον προμηθευτή. SQL Server 2000 επιτρέπει κρυπτογραφημένες συνδέσεις σε όλες τις βιβλιοθήκες δικτύου, χρησιμοποιώντας τα πιστοποιητικά και κρυπτογράφηση SSL. Μπορείτε να ενεργοποιήσετε την κρυπτογράφηση του SQL Server χρησιμοποιώντας τη βιβλιοθήκη δικτύου SuperSocket, Ssnetlib.dll ή Dbnetlib.dll

Εάν χρησιμοποιείτε κρυπτογράφηση SSL σε σύμπλεγμα του SQL Server, μπορείτε να χρησιμοποιήσετε τις ίδιες διαδικασίες εκτός από το γεγονός ότι πρέπει να εκδοθεί το πιστοποιητικό για το πλήρως αναγνωρισμένο όνομα τομέα του εικονικού διακομιστή SQL και όχι το όνομα μεμονωμένου υπολογιστή. Επιπλέον, τον τρόπο με τον οποίο ο Microsoft συνιστά να χρησιμοποιείτε πιστοποιητικά και κρυπτογράφηση SSL σε σύμπλεγμα του SQL Server είναι:
  1. Εγκαταστήστε τα πιστοποιητικά σε κάθε κόμβο του συμπλέγματος.
  2. Εγκατάσταση η αρχή έκδοσης αξιόπιστης ρίζας σε κάθε υπολογιστή-πελάτη.
  3. Ενεργοποίηση τουΕπιβολή κρυπτογράφησης πρωτοκόλλουεπιλογή από τους υπολογιστές-πελάτες χρησιμοποιώντας το πρόγραμμα-πελάτης δικτύου το βοηθητικό πρόγραμμα.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
319349BUG: Ενεργοποίηση της επιλογής "Επιβολή κρυπτογράφησης πρωτοκόλλου" είναι μη αναστρέψιμη, αν δεν υπάρχει πιστοποιητικό
Για την κρυπτογράφηση της επικοινωνίας μεταξύ ενός υπολογιστή-πελάτη και ενός διακομιστή, πρέπει πρώτα να αποφασίσετε αν θέλετε η κρυπτογράφηση ανά διακομιστή ή σε βάση ανά πελάτη. Keep in mind that there is a current SQL Server limitation if you enable encryption on the server. Encryption will be for all incoming connections. If you enable encryption on the client computer, all outgoing connections from that client try to make an encrypted connection to any SQL Server.

Additionally, when you enable Force Protocol Encryption from the server, it encrypts the logins and data. However, it does not require the client to trust the same root authority. If you prefer the client to trust the same root authority, you must use Client Network Utility or the connection string option to force protocol encryption on the client. Αυτό οφείλεται στη σχεδίαση.

SQL Server does not start if the certificate is invalid or if the service account that was used to start the MSSQLServer service cannot locate the certificate. Therefore, Microsoft recommends that you request the certificate while you are logged on by using the same user account that you used to start the MSSQLServer service.

If Microsoft Internet Information Services (IIS) is installed on the computer that is running SQL Server, you can also use the IIS Service Manager Wizard on theDirectory SecurityTAB. The certificate must be a server certificate that was issued to the fully qualified domain name (FQDN) of the server. You cannot use the IP address for the certificate name. A client computer must request the connection to the server by the FQDN or NetBIOS name of the server. You cannot connect to the server by using the IP address of the computer that is running SQL Server.

If the computer has multiple certificates installed in the user store or in the machine store, you may have to specify which certificate should be used for SQL Server.

Create a Certificate value of type REG_BINARY in the following registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Click on the Certificate value, and then type the thumbprint property value of the certificate in the data column.

As an example, the registry should appear similar to the following when you export it:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
If this registry key is set to 0 on the computer, the computer ignores the certificates on the computer. The computer that is running SQL Server will start but not read the certificate on the computer. If you want to use encryption and the computer only has one certificate, you do not need this registry key.

The only way to verify that you have successfully made an encrypted connection is to capture the traffic between two computers by using Microsoft Network Monitor or a Network Sniffer tool.For more information about how to setup Microsoft Network Monitor, click the following article number to view the article in the Microsoft Knowledge Base:
243270How to install Network Monitor in Windows 2000

Request and install a certificate by using a certificate server

  1. Make a HTTP connection to the certificate server while you are logged on by using the same account that you used to start the MSSQLServer service. For example, you can make the following connection:

    ΣΗΜΕΙΩΣΗ
    Microsoft recommends that you start the MSSQLServer service by using a domain user account or a local user account that has minimal privileges and not the local system account.
  2. ΕπιλογήRequest a certificate, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  3. ΣτοChoose Request Type:page, click to selectAdvanced request, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  4. ΕπιλογήSubmit a certificate request to this CA using a form, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  5. Enter the fully qualified domain name of your computer in theNAME"Τύπος" (Type). Ping your computer to get the fully qualified domain name if you are not sure what it is.
  6. ΣτοIntended Purposesection, change the selection toServer Authentication Certificateby using the drop-down list box from the Client Authentication Certificate. For an Enterprise Certificate Authority you would choose a template instead.
  7. Κάντε κλικ στην καρτέλαStore certificateoption in the local computer certificate store.
  8. Leave all other items as the default. Κάντε κλικΥποβολή.
  9. The last page presents you with aCertificate to InstallΥπερ-σύνδεση (Hyperlink). Κάντε κλικInstall this certificate.
To verify that your certificate installation is correct, use either the MMC Certificate snap-in to verify the certificates or use the CertUtil.exe tool that is installed on the certificate server to list the certificates. To load the MMC Certificate snap-in, follow these steps:
  1. To open the MMC console, clickStart,και, στη συνέχεια, κάντε κλικ στο κουμπίΕκτέλεση.
  2. ΣτοΕκτέλεσηπαράθυρο διαλόγου, πληκτρολογήστεMMC, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  3. Στο διακομιστήΚονσόλαμενού, κάντε κλικ στο κουμπίΠροσθήκη/Κατάργηση συμπληρωματικού προγράμματος.
  4. Κάντε κλικADD, και στη συνέχεια κάντε κλικ στο κουμπίCertificates.
  5. Κάντε κλικADD.

    You are prompted to open the snap-in for the current user account, for the service account, or for the computer account.
  6. Κάντε κλικComputer Account.
  7. Κάντε κλικLocal computer, και στη συνέχεια κάντε κλικ στο κουμπίΦινλανδικά
  8. Κάντε κλικClose (Κλείσιμο).
  9. Κάντε κλικOk.

    Your installed certificates are located in the Certificates folder in thePersonalContainer.
Double-click the certificate, and then make sure that all the following are true:
  • A private key corresponds to this certificate.
  • The certificate Subject Name is equal to the FQDN of the computer.
  • The intended purpose of the certificate is for server authentication.
  • The certificate path has a valid chain to the root authority.

Enable SSL encryption on the SQL Server

After the certificate is installed on the server, you can enable SSL encryption by following these steps:
  1. Use the SQL Server Network Utility and click to select theForce protocol encryptionΠλαίσιο ελέγχου.
  2. Stop, and then restart the MSSQLServer service for the Default Instance or Named Instance.
  3. Use the SQL Server error log to verify that SQL Server did not report any errors when it started.

Enable SSL encryption for a specific client

Εάν δεν θέλετε να ενεργοποιήσετε την κρυπτογράφηση SSL καθολικά στο διακομιστή, μπορείτε να ενεργοποιήσετε την κρυπτογράφηση SSL από συγκεκριμένους υπολογιστές-πελάτες. Μην ενεργοποιήσετε το SSL κρυπτογράφησης στο διακομιστή και υπολογιστή-πελάτη, χρησιμοποιήστε μία ή την άλλη. Εάν ενεργοποιήσετε την κρυπτογράφηση SSL σε βάση ανά πελάτη, ο υπολογιστής-πελάτης πρέπει να εμπιστευτείτε το πιστοποιητικό του διακομιστή. Το πιστοποιητικό πρέπει να υπάρχει ήδη στο διακομιστή. Ο υπολογιστής-πελάτης δεν απαιτεί ένα πιστοποιητικό, αλλά πρέπει να έχει το πιστοποιητικό του διακομιστή ως αξιόπιστη αρχή πιστοποίησης ρίζας. Ακολουθήστε τα παρακάτω βήματα για να ενεργοποιήσετε την κρυπτογράφηση SSL σε βάση ανά πελάτη:
  1. Βεβαιωθείτε ότι έχετε απενεργοποιήσει ή καταργήστε την επιλογή τουΕπιβολή κρυπτογράφησης πρωτοκόλλουεπιλογή από το βοηθητικό πρόγραμμα δικτύου διακομιστή.
  2. Κάνετε μια δοκιμαστική σύνδεση από έναν υπολογιστή-πελάτη με τη χρήση της Εποπτείας δικτύου ή ένα εργαλείο Sniffer δικτύου για να επαληθεύσετε ότι η επικοινωνία μεταξύ ενός υπολογιστή πελάτη και του διακομιστή δεν είναι κρυπτογραφημένη.
  3. Κάντε δεξιό κλικ στο εικονίδιο του Internet Explorer που βρίσκεται στην επιφάνεια εργασίας του υπολογιστή που εκτελεί τον SQL Server.
  4. Κάντε δεξιό κλικ στο στοιχείοΙδιότητες (Properties).
  5. Κάντε κλικ στην καρτέλαΠεριεχόμενοTAB.
  6. Κάντε κλικΠιστοποιητικά (Certificates).
  7. Κάντε κλικΑξιόπιστες αρχές έκδοσης πιστοποιητικών ρίζας.
  8. Κάντε κλικ στην επιλογήΑρχή έκδοσης πιστοποιητικών.
  9. Κάντε κλικΕξαγωγή, και στη συνέχεια κάντε κλικ στο κουμπίΕπόμενο.
  10. ΣτοΜορφή αρχείου εξαγωγήςπαράθυρο διαλόγου, κάντε κλικ στο κουμπίΤυπική σύνταξη κρυπτογράφησης μηνυμάτων - PKCS # 7 πιστοποιητικά (.P7B).
  11. Κάντε κλικ για να επιλέξετε τοΕάν είναι δυνατόν συμπεριλάβετε όλα τα πιστοποιητικά στη διαδρομή πιστοποίησηςΠλαίσιο ελέγχου.
  12. Επιλέξτε ένα όνομα αρχείου για το πιστοποιητικό που έχει εξαχθεί. Βεβαιωθείτε ότι η θέση αρχείου βρίσκεται κάπου που ο υπολογιστής-πελάτης μπορεί να προσπελάσει αργότερα να το εισαγάγετε.
  13. Κάντε κλικΕπόμενο, και στη συνέχεια κάντε κλικ στο κουμπίΦινλανδικά.
  14. Στον υπολογιστή-πελάτη, επιλέξτε το πρόγραμμα περιήγησης στο Internet, κάντε δεξιό κλικΙδιότητες (Properties), τοποθετήστε το δείκτηΠεριεχόμενο, και στη συνέχεια κάντε κλικ στο κουμπίΠιστοποιητικά (Certificates).
  15. Κάντε κλικ στην καρτέλαΑξιόπιστες αρχές έκδοσης πιστοποιητικών ρίζαςTAB.
  16. Κάντε κλικΕισαγωγήΚάντε κλικΕπόμενοΚάντε κλικΑναζήτηση, και στη συνέχεια κάντε κλικ στο κουμπίΑλλαγή αρχεία τύπου σε: PKCS # 7 Certificates(*.p7b).
  17. Επιλέξτε το πιστοποιητικό που μόλις εξαγάγατε από τον SQL Server και, στη συνέχεια, κάντε κλικ στο κουμπίOpen. Κάντε κλικΕπόμενο.
  18. Κάντε κλικ για να επιλέξετε τοΑυτόματη επιλογή του χώρου αποθήκευσης ανάλογα με τον τύπο του πιστοποιητικούΠλαίσιο ελέγχου.
  19. Κάντε κλικYESΓια να προσθέσετε το ακόλουθο πιστοποιητικό στο χώρο αποθήκευσης ριζικού.
  20. Κάντε κλικΕπόμενο, και στη συνέχεια κάντε κλικ στο κουμπίΦινλανδικά.
  21. Ανοίγει ένα παράθυρο διαλόγου με το κείμενο:
    Η εισαγωγή ήταν επιτυχής.
  22. Βεβαιωθείτε ότι το πιστοποιητικό εμφανίζεται στην περιοχή ρίζας αξιόπιστες αρχές έκδοσης πιστοποιητικών, τα οποίαΠροβλεπόμενη χρήσειςΥποδεικνύειΌλες.
  23. Κάντε κλικViewΓια να βεβαιωθείτε ότι έχουν αναφέρει σφάλματα με το πιστοποιητικό.
  24. Κάντε κλικ στην καρτέλαΔιαδρομή πιστοποίησηςκαρτέλα και στη συνέχεια ελέγξτε την κατάσταση του πιστοποιητικού για να δείτε εάν έχει ρυθμιστείOk.
  25. Ανοίξτε το βοηθητικό πρόγραμμα δικτύου προγράμματος-πελάτη και, στη συνέχεια, κάντε κλικ για να επιλέξετε τοΕπιβολή κρυπτογράφησης πρωτοκόλλουΠλαίσιο ελέγχου.

Ελέγξετε την κρυπτογράφηση από έναν υπολογιστή-πελάτη

Για να ελέγξετε την κρυπτογράφηση από έναν υπολογιστή-πελάτη, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:
  • Χρησιμοποιήστε το εργαλείο "Ανάλυση" του ερωτήματος.
  • Χρησιμοποιήστε οποιαδήποτε εφαρμογή ODBC όπου μπορείτε να αλλάξετε την ακολουθία χαρακτήρων σύνδεσης.

Ανάλυση του ερωτήματος

Για να ελέγξετε με το εργαλείο "ανάλυση ερωτημάτων SQL", ακολουθήστε τα εξής βήματα:
  1. Χρησιμοποιήστε το βοηθητικό πρόγραμμα δικτύου προγράμματος-πελάτη του SQL Server.
  2. Κάντε κλικ για να επιλέξετε τοΕπιβολή κρυπτογράφησης πρωτοκόλλουΠλαίσιο ελέγχου.
  3. Σύνδεση με το διακομιστή που εκτελεί τον SQL Server 2000 χρησιμοποιώντας το Query Analyzer.
  4. Εποπτεία της επικοινωνίας με χρήση του Microsoft Network Monitor ή ένα Sniffer δικτύου.

Εφαρμογή ODBC

Για να ελέγξετε με μια εφαρμογή ODBC, ακολουθήστε τα εξής βήματα:
  1. Τροποποιήστε τη συμβολοσειρά σύνδεσης ODBC ή OLEDB:

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Συνδεθείτε στον υπολογιστή που εκτελεί τον SQL Server 2000 και να παρακολουθείτε την επικοινωνία με τη χρήση της Εποπτείας δικτύου της Microsoft ή ένα Sniffer δικτύου.

Αναφορές

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
316898Πώς να ενεργοποιήσετε την κρυπτογράφηση SSL για μια παρουσία του SQL Server χρησιμοποιώντας την Κονσόλα διαχείρισης της Microsoft

Ιδιότητες

Αναγν. άρθρου: 276553 - Τελευταία αναθεώρηση: Σάββατο, 17 Σεπτεμβρίου 2011 - Αναθεώρηση: 3.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Λέξεις-κλειδιά: 
kbhowtomaster kbmt KB276553 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:276553

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com