Как включить шифрование SSL для SQL Server 2000 при наличии действительного сертификата сервера

Переводы статьи Переводы статьи
Код статьи: 276553 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В этой статье перечислены действия, которые необходимо использовать для Включение шифрования Secure Socket Layer (SSL) для Microsoft SQL Server 2000, если у вас есть действительный сертификат Сервер в сетевой среде. Если вы приобрели сертификаты сертификат стороннего поставщика, следуйте инструкциям, предоставленным поставщиком. SQL Server 2000 позволяет использовать шифрованные подключения через все сетевые библиотеки с помощью SSL-шифрования и сертификатов. Включить SQL Шифрование сервера с помощью SuperSocket Net-Library, Ssnetlib.dll или Dbnetlib.dll

Если в кластере SQL Server использовать шифрование SSL, можно использовать то же самое, за исключением того, что сертификат должен быть выдан полное доменное имя виртуального SQL Server, а не отдельных имя компьютера. Кроме того как корпорация Майкрософт рекомендует использовать Сертификаты и протокол SSL шифрование на кластер SQL Server:
  1. Установки сертификатов на каждом узле кластера.
  2. Установить доверенный корневой центр сертификации на каждом клиент.
  3. Включить Принудительное шифрование протокола параметр с клиентских компьютеров с помощью сетевой клиент Служебная программа.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
319349Ошибка: Включите параметр «Принудительное шифрование протокола» является необратимым, если нет сертификата
Для шифрования обмена данными между клиентом компьютером и сервером, необходимо сначала определить, требуются ли шифрования для каждого сервер или отдельно для каждого клиента. Имейте в виду, что текущая SQL Ограничение сервера при включении шифрования на сервере. Шифрование будет для всех входящих подключений. Если включить шифрование на клиентском компьютере все исходящие подключения от клиента, попробуйте сделать зашифрованное соединение для любого сервера SQL.

Кроме того, При включении принудительное шифрование протокола сервера выполняет шифрование имен входа и данные. Тем не менее одного корневого центра сертификации для данного клиента не требуется. Если предпочтение одного корневого центра сертификации для данного клиента, программа сетевого клиента или параметра строки подключения необходимо использовать для принудительного протокол шифрования на стороне клиента. Это сделано намеренно.

SQL Server не не начала, если сертификат недопустим или если служба учета, был использован для запуска учетная запись службы MSSQLServer не может найти сертификат. Корпорация Майкрософт рекомендует запросить сертификат, в то время как при входе в систему, используя ту же учетную запись пользователя, который использовался для Запустите службу MSSQLServer.

Если службы информации Microsoft Интернета (IIS) установлена на компьютере, на котором запущен SQL Server, можно использовать мастер диспетчера служб IIS на Каталог Безопасность Вкладка. Сертификат должен быть сертификат сервера, который был выдан для полного доменного имени (FQDN) сервера. Нельзя использовать IP-адрес Имя сертификата. Клиентский компьютер должен запросить подключение к серверу полное доменное имя или NetBIOS-имя сервера. Вы не можете подключиться к серверу, используя IP-адрес компьютера, на котором запущен SQL Server.

Если компьютер имеет несколько сертификатов в хранилище пользователя или хранилище компьютера, возможно, потребуется указать, какой сертификат должен использоваться для SQL Server.

Создайте сертификат значение типа REG_BINARY в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Выберите значение сертификата, а затем введите значение свойства отпечаток сертификата в столбце данных.

Например реестр будет выглядеть следующим при его экспорте:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] «Сертификат» = hex: 2e, 67, 3e, 84, 4a, 4f, e0, 7f, 08, 42, 6a, 7a, 35, 9b, 01, 94, 76, 67, 0b
Если этот раздел реестра имеет значение 0, на компьютере, компьютер пропускает сертификатов на компьютере. В компьютер, на котором запущен SQL Server запустить, но не считывает сертификат на компьютер. Если требуется использовать шифрование, а компьютер имеет только один сертификат, этот раздел реестра необязательно.

Единственный способ убедиться, что успешно создано зашифрованного соединения используется для записи трафика между двумя компьютерами с помощью сети Microsoft Монитора или средства сетевых средств прослушивания. Для получения дополнительных сведений о том, как настроить сетевой монитор Майкрософт, обратитесь к следующей статье базы знаний Майкрософт:
243270Установка сетевого монитора в Windows 2000

Запрос и установка сертификата с помощью сертификата сервера

  1. Убедитесь, подключение HTTP сервер сертификатов, тогда как при входе в систему, используя ту же учетную запись, которая использовалась для запуска службы MSSQLServer. Например можно сделать следующее подключение:

    Примечание
    Корпорация Майкрософт рекомендует запустить службы MSSQLServer, используя учетную запись пользователя домена или локальной учетной записи пользователя, имеющего минимальные права, а не локальная системная учетная запись.
  2. Выберите Запрос сертификата, а затем нажмите кнопку Далее.
  3. В Выбор типа запроса: Нажмите для выбора Расширенный запрос, а затем нажмите кнопку Далее.
  4. Выберите Отправка запроса сертификата в ЦС с помощью формы, а затем нажмите кнопку Далее.
  5. Введите полное доменное имя компьютера в очередь Имя поле. Ping компьютер для получения полного имени домена имя, если вы не уверены, что это такое.
  6. В Назначение сертификата раздел, выделение Сертификат проверки подлинности сервера с помощью раскрывающегося списка из проверки подлинности клиента Сертификат. Для центра сертификации предприятия следует вместо этого выбрать шаблон.
  7. Нажмите кнопку Хранилище сертификатов параметр в хранилище сертификатов локального компьютера.
  8. Оставьте все другие элементы по умолчанию. Нажмите кнопку Отправить.
  9. Возвращает последнюю страницу Сертификат для установки Гиперссылка. Нажмите кнопку Установить этот сертификат.
Чтобы проверить правильность установки сертификата, Используйте либо MMC оснастки сертификатов для проверки сертификатов или воспользуйтесь средством CertUtil.exe, установленного на сервере сертификат для вывода списка сертификатов. Чтобы загрузить оснастку MMC сертификат, выполните следующие действия:
  1. Чтобы открыть консоль MMC, нажмите кнопку Начало,и выберите команду Запустить.
  2. В Запустить диалоговое окно, тип MMC, а затем нажмите кнопку ОК.
  3. На Консоль меню, нажмите кнопку Добавление и удаление оснастки.
  4. Нажмите кнопку Добавить, а затем нажмите кнопку Сертификаты.
  5. Нажмите кнопку Добавить.

    Пользователю предлагается открыть оснастку для текущего учетная запись пользователя, для учетной записи службы или учетной записи компьютера.
  6. Нажмите кнопку Учетная запись компьютера.
  7. Нажмите кнопку Локальный компьютер, а затем нажмите кнопку Окончание
  8. Нажмите кнопку Закрыть.
  9. Нажмите кнопку ОК.

    Установленные сертификаты находятся в Папку сертификаты Личные контейнер.
Дважды щелкните сертификат, а затем убедитесь, что все следующих условий:
  • Соответствующий закрытый ключ Этот сертификат.
  • Имя субъекта сертификата равен полное доменное имя компьютера.
  • Сертификат предназначен для проверки подлинности сервера.
  • Путь сертификат имеет цепочку для корневой центр сертификации.

Включить шифрование SSL на сервере SQL

После установки сертификата на сервере, можно включить Шифрование SSL, выполните следующие действия:
  1. Программа сети SQL Server и нажмите кнопку для выбора Принудительное шифрование протокола флажок.
  2. Остановите и перезапустите службу MSSQLServer для Экземпляр по умолчанию или именованный экземпляр.
  3. Убедитесь, что SQL Server было с помощью журнал ошибок SQL Server не выдает сообщения об ошибках при его запуске.

Включить шифрование SSL для определенного клиента

Не следует ли включить шифрование SSL глобально в сервер, можно включить шифрование SSL из конкретных клиентов. Не включайте протокол SSL шифрование на сервере и клиенте, воспользуйтесь другим. Если включен Шифрование SSL отдельно для каждого клиента, клиентский компьютер должен доверять серверу сертификат. Сертификат уже должен существовать на сервере. Клиент компьютер не требуется сертификат, но он должен быть сервер сертификата в качестве доверенного корневого центра сертификации. Выполните следующие действия Включите шифрование SSL отдельно для каждого клиента:
  1. Убедитесь, что отключен или очистить Принудительное шифрование протокола параметр программы сетевого сервера.
  2. Сделать проверить соединение с клиентского компьютера с помощью Сетевой монитор или средство средство прослушивания сети, убедитесь, что связь между клиентом и сервером компьютера не зашифрован.
  3. Щелкните правой кнопкой мыши значок Internet Explorer, который расположен на рабочий стол компьютера, на котором запущен SQL Server.
  4. Щелкните правой кнопкой мыши Свойства.
  5. Нажмите кнопку Содержимое Вкладка.
  6. Нажмите кнопку Сертификаты.
  7. Нажмите кнопку Доверенные корневые центры сертификации.
  8. Выберите Центр сертификации.
  9. Нажмите кнопку Экспорт, а затем нажмите кнопку Далее.
  10. В Формат файла экспорта диалоговое окно, нажмите кнопку Стандарт синтаксиса шифруемых сообщений - сертификатов PKCS # 7 (.P7B).
  11. Выберите Включить по возможности все сертификаты в путь сертификации флажок.
  12. Выберите имя файла для экспортируемого сертификата. Убедитесь, что что расположен где-нибудь, клиентский компьютер может позже открыть Чтобы импортировать его.
  13. Нажмите кнопку Далее, а затем нажмите кнопку Окончание.
  14. На клиентском компьютере выберите веб-обозревателя, Щелкните правой кнопкой мыши Свойства, выберите пункт Содержимое, а затем нажмите кнопку Сертификаты.
  15. Нажмите кнопку Доверенные корневые центры сертификации Вкладка.
  16. Нажмите кнопку Импорт, нажмите кнопку Далее, нажмите кнопку Обзор, а затем нажмите кнопку Изменить тип для файлов: PKCS # 7 Certificates(*.p7b).
  17. Выберите сертификат, который был экспортирован из SQL Server и выберите команду Открыть. Нажмите кнопку Далее.
  18. Выберите Автоматически выберите хранилище на основе типа сертификата флажок.
  19. Нажмите кнопку ДА Чтобы добавить этот сертификат в корневое хранилище.
  20. Нажмите кнопку Далее, а затем нажмите кнопку Окончание.
  21. Появится диалоговое окно с текстом:
    Импорт выполнен успешно.
  22. Убедитесь, что сертификат будет отображен в списке доверенных корневых Центры сертификации и что Назначения Указывает Все.
  23. Нажмите кнопку Представление Чтобы убедиться, что ошибки не были обнаружены с помощью сертификат.
  24. Нажмите кнопку Путь сертификации вкладки, а затем проверить состояние сертификата, чтобы увидеть, если он имеет значениеОК.
  25. Откройте служебную программу сети клиента и выберите очередь Принудительное шифрование протокола флажок.

Проверить шифрование с помощью клиента

Для проверки шифрования от клиента, используйте один из следующих способов:
  • С помощью анализатора запросов.
  • Где можно изменить с помощью любого приложения ODBC Строка подключения.

Анализатор запросов

Чтобы проверить с помощью инструмента SQL Query Analyzer, выполните следующие действия:
  1. Программа сетевого клиента SQL Server.
  2. Выберите Принудительное шифрование протокола флажок.
  3. Подключиться к серверу, на котором запущен SQL Server 2000 с помощью анализатора запросов.
  4. Наблюдать за обменом данными с помощью сети Microsoft Монитор или средств прослушивания сети.

Приложения ODBC

Чтобы протестировать приложение ODBC, выполните следующие действия:
  1. Измените строку подключения ODBC или OLEDB:

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    OLE DB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Подключение к компьютеру, на котором запущен SQL Server 2000 и наблюдать за обменом данными с помощью сетевого монитора Microsoft или в сети Средство прослушивания.

Ссылки

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
316898Как включить SSL-шифрования для экземпляра SQL Server с помощью консоли управления MMC

Свойства

Код статьи: 276553 - Последний отзыв: 17 сентября 2011 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Ключевые слова: 
kbhowtomaster kbmt KB276553 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:276553

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com