Comment activer le chiffrement SSL pour SQL Server 2000 si vous avez un serveur de certificat valide

Traductions disponibles Traductions disponibles
Numéro d'article: 276553 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article étape par étape répertorie les étapes que vous devez utiliser pour activer le chiffrement SSL (Secure Sockets Layer) pour Microsoft SQL Server 2000 si vous avez un serveur de certificats valide dans votre environnement réseau. Si vous avez acheté les certificats d'un fournisseur de certification tierce, suivez les instructions fournies par le fournisseur. SQL Server 2000 autorise des connexions chiffrées sur toutes les bibliothèques réseau en utilisant les certificats et le chiffrement SSL. Vous pouvez activer chiffrement SQL Server à l'aide la SuperSocket de NET-Library, Ssnetlib.dll ou Dbnetlib.dll

Si vous utilisez le chiffrement SSL sur un cluster SQL Server, vous pouvez utiliser les mêmes procédures sauf que le certificat doit être émis au nom de domaine pleinement qualifié du serveur SQL virtuel et pas le nom de l'ordinateur individuels. La façon dont Microsoft vous recommande de plus, vous utilisez des certificats et le chiffrement SSL sur un cluster SQL Server est :
  1. Installer les certificats sur chaque n?ud du cluster.
  2. Installez l'autorité racine certifiée sur chaque client.
  3. Activez l'option Forcer le cryptage du protocole à partir des ordinateurs client en utilisant le réseau client utilitaire.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
319349 BOGUE : Activation de l'option « Forcer le cryptage protocole » est irréversible si aucun certificat n'est
Pour chiffrer les communications entre un ordinateur client et un serveur, vous devez tout d'abord décider si vous souhaitez que le chiffrement par serveur ou sur une base par client. N'oubliez pas qu'il y a un actif SQL Server limite si vous activez le chiffrement sur le serveur. Chiffrement sera pour toutes les connexions entrantes. Si vous activez le chiffrement sur l'ordinateur client, toutes les connexions sortantes à partir de ce client essayez d'établir une connexion chiffrée à n'importe quel SQL Server.

En outre, lorsque vous activez Forcer le cryptage du protocole à partir du serveur, elle chiffre les noms d'accès et les données. Toutefois, il ne nécessite pas le client pour approuver l'autorité racine même. Si vous préférez le client pour approuver l'autorité racine même, vous devez utiliser Utilitaire réseau du client ou l'option de chaîne de connexion pour forcer le protocole de chiffrement sur le client. Ce comportement est voulu par la conception même du produit.

SQL Server ne démarre pas si le certificat est non valide ou si le compte de service qui a été utilisé pour démarrer le service MSSQLServer ne peut pas localiser le certificat. Par conséquent, Microsoft vous recommande de vous demander le certificat lorsque vous êtes connecté à l'aide le même compte d'utilisateur qui vous permet de démarrer le service MSSQLServer.

Si Microsoft Internet Information Services (IIS) est installé sur l'ordinateur qui exécute SQL Server, vous pouvez également utiliser l'Assistant Gestionnaire des services IIS sur le Directory sécurité onglet. Le certificat doit être un certificat de serveur qui a été publié sur le nom de domaine complet du serveur. Vous ne pouvez pas utiliser l'adresse IP pour le nom du certificat. Un ordinateur client doit demander la connexion au serveur en le nom FQDN ou NetBIOS du serveur. Vous ne pouvez pas vous connecter à celui-ci à l'aide de l'adresse IP de l'ordinateur qui exécute SQL Server.

Si l'ordinateur possède plusieurs certificats installés dans le magasin d'utilisateur ou dans le magasin de l'ordinateur, vous devrez peut-être spécifier le certificat doit être utilisé pour SQL Server.

Créez une valeur de certificat de type REG_BINARY dans la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Cliquez sur la valeur de certificat, puis tapez la valeur de propriété empreinte numérique du certificat dans la colonne de données.

Par exemple, le Registre doit ressembler à celui-ci lorsque vous l'exportez :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
Si cette clé de Registre est définie à 0 sur l'ordinateur, l'ordinateur ignore les certificats sur l'ordinateur. L'ordinateur qui exécute SQL Server va démarrer mais pas lire le certificat sur l'ordinateur. Si vous souhaitez utiliser le cryptage et l'ordinateur dispose uniquement d'un certificat, vous ne devez pas cette clé de Registre.

Pour vérifier que vous venez avec succès une connexion chiffrée, le seul consiste à capturer le trafic entre deux ordinateurs à l'aide Moniteur réseau Microsoft ou un outil espion réseau. Pour plus d'informations sur la façon de Moniteur réseau Microsoft de configurer, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
243270 Comment faire pour installer Moniteur réseau dans Windows 2000

Demander et installer un certificat à l'aide d'un serveur de certificat

  1. Établir une connexion HTTP au serveur de certificat lorsque vous êtes connecté à l'aide le même compte qui vous permet de démarrer le service MSSQLServer. Par exemple, vous pouvez effectuer la connexion suivante :
    http://mycertserver/certsrv
    note Microsoft recommande que vous démarrer le service MSSQLServer en utilisant un compte d'utilisateur de domaine ou un compte d'utilisateur local qui possède des privilèges minimales et pas le compte système local.
  2. Sélectionnez Demander un certificat , puis cliquez sur suivant .
  3. Dans la cliquez sur Type de requête : page, sélectionnez Avancé demande et puis cliquez sur suivant .
  4. Sélectionnez Soumettre une demande de certificat à cette autorité de CERTIFICATION à l'aide d'un formulaire , puis cliquez sur suivant .
  5. Entrez le nom de domaine pleinement qualifié de votre ordinateur dans la zone Nom . Exécutez la commande ping sur votre ordinateur pour obtenir le nom de domaine complet si vous n'êtes pas sûr qu'il est-ce que.
  6. Dans la section objectif prévus , remplacez la sélection pour l'authentification du serveur de certificat en utilisant la liste déroulante zone de liste déroulante à partir l'authentification du client le certificat. Pour une autorité de certification d'entreprise vous sélectionnez un modèle à la place.
  7. Cliquez sur l'option Enregistrer le certificat dans le magasin de certificats ordinateur local.
  8. Laissez tous les autres éléments par défaut. Cliquez sur Envoyer .
  9. La dernière page vous présente un lien hypertexte de certificat pour installer . Cliquez sur Installer ce certificat .
Pour vérifier que votre installation de certificat est correcte, utilisez soit le MMC enfichable certificat pour vérifier les certificats ou utilisez l'outil CertUtil.exe qui est installé sur le serveur de certificat pour répertorier les certificats. Pour charger le composant logiciel enfichable Certificats de MMC, procédez comme suit :
  1. Pour ouvrir la console MMC, cliquez sur Démarrer et puis cliquez sur Exécuter .
  2. Dans la boîte de dialogue Exécuter , tapez mmc , puis cliquez sur OK .
  3. Dans le menu console , cliquez sur Ajouter/Supprimer un composant logiciel enfichable .
  4. Cliquez sur Ajouter , puis cliquez sur certificats .
  5. Cliquez sur Ajouter .

    Vous êtes invité à ouvrir le composant logiciel enfichable pour le compte d'utilisateur actuel, pour le compte de service ou pour le compte d'ordinateur.
  6. Cliquez sur compte d'ordinateur .
  7. Cliquez sur ordinateur local , puis cliquez sur Terminer
  8. Cliquez sur Fermer .
  9. Cliquez sur OK .

    Vos certificats installés se trouvent dans le dossier certificats dans le conteneur personnel .
Double-cliquez sur le certificat et assurez-vous que toutes les opérations suivantes sont remplies :
  • Une clé privée correspond à ce certificat.
  • Le certificat nom du sujet est égal au nom de domaine complet de l'ordinateur.
  • L'objectif prévu du certificat est pour l'authentification du serveur.
  • Le chemin d'accès de certificat a une chaîne valide à l'autorité racine.

Activer le chiffrement SSL sur le serveur SQL

Une fois le certificat est installé sur le serveur, vous pouvez activer le chiffrement SSL en procédant comme suit :
  1. Utilisez l'utilitaire réseau SQL Server et cliquez sur Activez la case à cocher Forcer le cryptage du protocole .
  2. Arrêtez et redémarrez le service MSSQLServer pour l'instance par défaut ou une instance des.
  3. Utilisez le journal des erreurs SQL Server pour vérifier que SQL Server n'a pas signalé des erreurs lorsqu'elle démarrée.

Activer le chiffrement SSL pour un client spécifique

Si vous ne souhaitez pas activer le chiffrement SSL globalement sur le serveur, vous pouvez activer le chiffrement SSL à partir de clients spécifiques. Ne pas activer SSL chiffrement sur le serveur et le client, utilisez une ou l'autre. Si vous activez le chiffrement SSL sur une base par client, l'ordinateur client doit approuver le certificat du serveur. Le certificat doit déjà exister sur le serveur. L'ordinateur client ne nécessite pas un certificat, mais il doit être le certificat de serveur comme une autorité de certification racine de confiance. Suivez ces étapes pour activer le chiffrement SSL sur une base par client :
  1. Assurez-vous que vous désactivez ou désactivez l'option Forcer le cryptage du protocole dans l'utilitaire réseau SQL Server.
  2. Établir une connexion de test à partir d'un ordinateur client en utilisant le le Moniteur réseau ou un outil espion réseau pour vérifier que la communication entre un ordinateur client et le serveur n'est pas chiffrée.
  3. Cliquez avec le bouton droit sur l'icône Internet Explorer qui se trouve sur le Bureau sur l'ordinateur qui exécute SQL Server.
  4. Cliquez avec le bouton droit sur Propriétés .
  5. Cliquez sur l'onglet contenu .
  6. Cliquez sur certificats .
  7. Cliquez sur Autorités de certification racines de confiance .
  8. Cliquez pour sélectionner l'autorité de certification .
  9. Cliquez sur Exporter , puis cliquez sur suivant .
  10. Dans la boîte de dialogue Format de fichier Exporter , cliquez sur Services de chiffrement message syntaxe standard - PKCS # 7 certificats (. p7b) .
  11. Cliquez pour sélectionner la case à cocher Inclure tous les certificats du chemin d'accès de certification si possible .
  12. Sélectionnez un nom de fichier pour le certificat exporté. Assurez-vous que l'emplacement du fichier est quelque part l'ordinateur client peut accéder ultérieurement pour l'importer.
  13. Cliquez sur suivant , puis cliquez sur Terminer .
  14. Dans l'ordinateur client, sélectionnez votre navigateur Internet, cliquez avec le bouton droit sur Propriétés , pointez sur le contenu et puis cliquez sur certificats .
  15. Cliquez sur l'onglet Autorités de certification racines de confiance .
  16. Cliquez sur Importer , cliquez sur suivant , cliquez sur Parcourir , puis cliquez sur type pour modifier de fichiers : PKCS # 7 Certificates(*.p7b) .
  17. Sélectionnez le certificat que vous venez d'exporter à partir de SQL Server, puis cliquez sur Ouvrir . Cliquez sur suivant .
  18. Cliquez pour sélectionner la case à cocher Sélectionner automatiquement le magasin de certificats selon le type de certificat .
  19. Cliquez sur Oui pour ajouter le certificat suivant au magasin racine.
  20. Cliquez sur suivant , puis cliquez sur Terminer .
  21. Une boîte de dialogue s'ouvre avec le texte :
    l'importation a réussi .
  22. Vérifiez que le certificat apparaît sous la racine de confiance autorités de certification, et que les rôles prévus indique toutes les .
  23. Cliquez sur Afficher pour vérifier qu'aucune erreur n'ont été signalées avec le certificat.
  24. Cliquez sur l'onglet chemin d'accès de certification , puis vérifiez l'état de certificat pour voir si elle est définie sur OK .
  25. Ouvrez l'utilitaire réseau client, puis cliquez sur Activez la case à cocher Forcer le cryptage du protocole .

Tester le chiffrement à partir d'un client

Pour tester le chiffrement à partir d'un client, appliquez l'une des méthodes suivantes :
  • Utilisez l'outil Analyseur de requêtes.
  • Utilisez n'importe quelle application ODBC dans laquelle vous pouvez modifier la chaîne de connexion.

Analyseur de requêtes

Pour tester avec l'outil Analyseur de requêtes SQL, procédez comme suit :
  1. Utilisez l'utilitaire réseau du client SQL Server.
  2. Cliquez pour sélectionner la case à cocher Forcer le cryptage du protocole .
  3. Se connecter au serveur qui exécute SQL Server 2000 à l'aide de l'Analyseur de requêtes.
  4. Contrôlez la communication à l'aide de Microsoft Network moniteur ou un espion réseau.

Application ODBC

Pour tester avec une application ODBC, procédez comme suit :
  1. Modifier la chaîne de connexion ODBC ou OLEDB :

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Se connecter à l'ordinateur qui exécute SQL Server 2000 et contrôlez la communication en utilisant le Moniteur réseau Microsoft ou un espion réseau.

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
316898 Comment activer le chiffrement SSL pour une instance de SQL Server à l'aide Microsoft Management Console

Propriétés

Numéro d'article: 276553 - Dernière mise à jour: mardi 4 avril 2006 - Version: 10.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2000 Standard
  • Microsoft SQL Server 2000 Édition 64 bits
Mots-clés : 
kbmt kbhowtomaster KB276553 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 276553
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com