วิธีการเปิดใช้งานการเข้ารหัส SSL สำหรับ SQL Server 2000 ถ้าคุณมีเซิร์ฟเวอร์ใบรับรองที่ถูกต้อง

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 276553 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความที่มีการทีละขั้นตอนนี้แสดงขั้นตอนที่คุณต้องใช้เพื่อเปิดใช้งานการเข้ารหัส Secure Socket Layer (SSL) สำหรับ Microsoft SQL Server 2000 ถ้าคุณมีเซิร์ฟเวอร์ใบรับรองที่ถูกต้องในระบบเครือข่ายของคุณ ถ้าคุณซื้อใบรับรองจากผู้จัดจำหน่ายใบรับรองจากที่อื่น ทำตามคำแนะนำที่มาจากผู้ขาย sql Server 2000 อนุญาตให้เข้ารหัสลับในการเชื่อมต่อผ่านไลบรารีเครือข่ายทั้งหมด โดยใช้ใบรับรองและเข้ารหัสลับ SSL คุณสามารถเปิดใช้งานการเข้ารหัสลับของ SQL Server โดยใช้สุทธิ SuperSocket-ไลบรารี Ssnetlib.dll หรือ Dbnetlib.dll

ถ้าคุณใช้การเข้ารหัสลับ SSL ในคลัสเตอร์ SQL Server คุณสามารถใช้ขั้นตอนเดียวกันยกเว้นว่าใบรับรองต้องถูกนำออกใช้ชื่อโดเมนที่ครบถ้วนของเซิร์ฟเวอร์ SQL เสมือนและไม่ชื่อคอมพิวเตอร์แต่ละ แนะนำนอกจากนี้ วิธีการ Microsoft ให้คุณใช้ใบรับรอง และเข้ารหัสลับ SSL บน SQL Server คลัสเตอร์เป็น:
  1. ติดตั้งใบรับรองบนแต่ละโหนดในคลัสเตอร์
  2. ติดตั้งการรับรองหลักที่เชื่อถือได้บนไคลเอนต์แต่ละ
  3. เปิดใช้งานนั้นบังคับการเข้ารหัสลับของโพรโทคอลอ็อพชันจากคอมพิวเตอร์ไคลเอนต์โดยใช้เครือข่ายของไคลเอ็นต์ของโปรแกรมอรรถประโยชน์
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
319349BUG: เปิดใช้งานตัวเลือก "บังคับใช้โพรโทคอลการเข้ารหัส" คือ irreversible ถ้าไม่มีใบรับรอง
การสื่อสารระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์การเข้ารหัส คุณต้องตัดสินใจก่อนว่า ถ้า คุณต้องการให้การเข้ารหัสลับเป็น ต่อเซิร์ฟเวอร์ หรือในไคลเอ็นต์ต่อ โปรดระลึกว่า เป็น SQL ที่ปัจจุบันมีข้อจำกัด Server ถ้าคุณเปิดใช้งานการเข้ารหัสลับบนเซิร์ฟเวอร์ จะเข้ารหัสลับสำหรับการเชื่อมต่อขาเข้าทั้งหมด ถ้าคุณเปิดใช้งานการเข้ารหัสลับบนคอมพิวเตอร์ไคลเอนต์ เชื่อมต่อขาออกทั้งหมดจากไคลเอนต์นั้นพยายามทำการเชื่อมต่อเข้ารหัสลับของ SQL Server ใด ๆ

เข้านอกจากนี้ เมื่อคุณเปิดใช้งานการเข้ารหัสลับโพรโทคอลบังคับจากเซิร์ฟเวอร์ มันรหัสเข้าสู่ระบบและข้อมูล อย่างไรก็ตาม มันไม่จำเป็นต้องไคลเอ็นต์กับหน่วยงานจัดเก็บหลักเดียวกันที่เชื่อถือ ถ้าคุณต้องใช้ไคลเอนต์จะเชื่อถือสิทธิ์รากเดียวกัน คุณต้องใช้ยูทิลิตี้การเครือข่ายไคลเอนต์หรือตัวเลือกการเชื่อมต่อสายอักขระเพื่อบังคับใช้โพรโทคอลที่เข้ารหัสลับบนไคลเอ็นต์ นี่คือ โดยการออกแบบ

sql Server ไม่เริ่มทำงาน หากใบรับรองไม่ถูกต้อง หรือ หากบัญชีบริการที่ถูกใช้เพื่อเริ่มการทำงานของบริการ MSSQLServer ไม่สามารถค้นหาใบรับรอง ดังนั้น Microsoft แนะนำว่า คุณร้องขอใบรับรองในขณะที่คุณเข้าสู่ระบบ โดยใช้บัญชีผู้ใช้เดียวกับที่คุณใช้เพื่อเริ่มการทำงานของบริการ MSSQLServer

ถ้ามีการติดตั้งบริการข้อมูลทางอินเทอร์เน็ตของ Microsoft (IIS) บนคอมพิวเตอร์ที่ใช้ SQL Server คุณสามารถใช้ตัวช่วยสร้างตัวจัดการบริการ IIS บนการรักษาความปลอดภัย directoryแท็บ ใบรับรองต้องมีใบรับรองเซิร์ฟเวอร์ที่ถูกนำออกใช้ชื่อโดเมน(แบบเต็ม FQDN) ของเซิร์ฟเวอร์ คุณไม่สามารถใช้อยู่ IP สำหรับชื่อของใบรับรอง ไคลเอ็นต์คอมพิวเตอร์ต้องร้องขอการเชื่อมต่อกับเซิร์ฟเวอร์ โดยชื่อ FQDN หรือ NetBIOS ของเซิร์ฟเวอร์ คุณไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ โดยใช้อยู่ IP ของคอมพิวเตอร์ที่ใช้ SQL Server

ถ้าคอมพิวเตอร์มีใบรับรองหลายที่ติดตั้งไว้ ในเก็บผู้ใช้ หรือ ในเก็บเครื่องจักร คุณอาจต้องระบุใบรับรองที่ควรจะใช้สำหรับ SQL Server

สร้างค่าใบรับรองชนิด REG_BINARY ในรีจิสทรีคีย์ต่อไปนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
คลิกที่ค่าใบรับรอง และพิมพ์ค่าของคุณสมบัติรหัสประจำตัวของใบรับรองในคอลัมน์ข้อมูล

เป็นตัวอย่าง รีจิสทรีควรปรากฏคล้ายกับต่อไปนี้เมื่อคุณส่งออก:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "ใบรับรอง" =ฐานสิบหก: 2e, 67, 3e, 84, 4a, 4f, e0, 7f, 08, 42, 6a, 7a, 35, 9b, 01, 94, 76, 67, 0b
ถ้าคีย์รีจิสทรีนี้ถูกตั้งค่าเป็น 0 บนเครื่องคอมพิวเตอร์ เครื่องคอมพิวเตอร์ละเว้นใบรับรองบนคอมพิวเตอร์ คอมพิวเตอร์ที่ใช้ SQL Server จะเริ่มการทำงาน แต่ไม่ได้อ่านใบรับรองบนคอมพิวเตอร์ If you want to use encryption and the computer only has one certificate, you do not need this registry key.

The only way to verify that you have successfully made an encrypted connection is to capture the traffic between two computers by using Microsoft Network Monitor or a Network Sniffer tool.For more information about how to setup Microsoft Network Monitor, click the following article number to view the article in the Microsoft Knowledge Base:
243270How to install Network Monitor in Windows 2000

Request and install a certificate by using a certificate server

  1. Make a HTTP connection to the certificate server while you are logged on by using the same account that you used to start the MSSQLServer service. For example, you can make the following connection:

    หมายเหตุ:
    Microsoft recommends that you start the MSSQLServer service by using a domain user account or a local user account that has minimal privileges and not the local system account.
  2. เลือกร้องขอใบรับรองแล้ว คลิกถัดไป.
  3. ในการChoose Request Type:page, click to selectAdvanced requestแล้ว คลิกถัดไป.
  4. เลือกSubmit a certificate request to this CA using a formแล้ว คลิกถัดไป.
  5. Enter the fully qualified domain name of your computer in theชื่อ:กล่อง Ping your computer to get the fully qualified domain name if you are not sure what it is.
  6. ในการIntended Purposesection, change the selection toServer Authentication Certificateby using the drop-down list box from the Client Authentication Certificate. For an Enterprise Certificate Authority you would choose a template instead.
  7. คลิกการStore certificateoption in the local computer certificate store.
  8. Leave all other items as the default. คลิกส่ง.
  9. The last page presents you with aCertificate to Installhyperlink. คลิกInstall this certificate.
To verify that your certificate installation is correct, use either the MMC Certificate snap-in to verify the certificates or use the CertUtil.exe tool that is installed on the certificate server to list the certificates. To load the MMC Certificate snap-in, follow these steps:
  1. To open the MMC console, clickเริ่มการทำงานแล้ว คลิกเรียกใช้.
  2. ในการเรียกใช้กล่องโต้ตอบ ชนิดmmcแล้ว คลิกตกลง.
  3. ในการส่วนควบคุมเมนู คลิกเพิ่ม/เอาออกสแนปอิน.
  4. คลิกaddแล้ว คลิกใบรับรอง.
  5. คลิกadd.

    You are prompted to open the snap-in for the current user account, for the service account, or for the computer account.
  6. คลิกComputer Account.
  7. คลิกLocal computerแล้ว คลิกเสร็จสิ้น
  8. คลิกปิด.
  9. คลิกตกลง.

    Your installed certificates are located in the Certificates folder in theส่วนบุคคลคอนเทนเนอร์
Double-click the certificate, and then make sure that all the following are true:
  • A private key corresponds to this certificate.
  • The certificate Subject Name is equal to the FQDN of the computer.
  • The intended purpose of the certificate is for server authentication.
  • The certificate path has a valid chain to the root authority.

Enable SSL encryption on the SQL Server

After the certificate is installed on the server, you can enable SSL encryption by following these steps:
  1. Use the SQL Server Network Utility and click to select theForce protocol encryptionกล่องกาเครื่องหมาย
  2. Stop, and then restart the MSSQLServer service for the Default Instance or Named Instance.
  3. Use the SQL Server error log to verify that SQL Server did not report any errors when it started.

Enable SSL encryption for a specific client

ถ้าคุณไม่ต้องการเปิดใช้งานการเข้ารหัสลับ SSL ทั้งระบบที่เซิร์ฟเวอร์ คุณสามารถเปิดใช้งานการเข้ารหัสลับ SSL จากไคลเอ็นต์เฉพาะ เปิดใช้ SSL ไม่ใช้การเข้ารหัสลับบนทั้งเซิร์ฟเวอร์และไคลเอนต์ หนึ่งหรืออีกด้วย ถ้าคุณเปิดใช้งานการเข้ารหัสลับ SSL บนพื้นฐานต่อไคลเอนต์ คอมพิวเตอร์ไคลเอนต์ต้องเชื่อถือการรับรองของเซิร์ฟเวอร์ ใบรับรองต้องมีอยู่บนเซิร์ฟเวอร์ คอมพิวเตอร์ไคลเอนต์ไม่จำเป็นต้องมีใบรับรอง แต่ต้องมีใบรับรองของเซิร์ฟเวอร์เป็นแบบใบรับรองการรับรองที่เชื่อถือได้ราก ทำตามขั้นตอนเหล่านี้เพื่อเปิดใช้งานการเข้ารหัสลับ SSL ในไคลเอ็นต์ต่อ:
  1. ตรวจสอบให้แน่ใจว่า คุณปิดใช้งาน หรือยกเลิกเลือกนั้นบังคับใช้โพรโทคอลในการเข้ารหัสลับตัวเลือกในยูทิลิตี้การเครือข่ายเซิร์ฟเวอร์
  2. ทำการเชื่อมต่อที่ทดสอบจากไคลเอ็นต์คอมพิวเตอร์ โดยใช้การตรวจสอบเครือข่ายหรือเครื่องมือ Sniffer เครือข่ายเพื่อตรวจสอบว่า การสื่อสารระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์จะไม่เข้ารหัสลับ
  3. คลิกขวาไอคอน Internet Explorer ที่อยู่บนเดสก์ท็อปที่อยู่บนคอมพิวเตอร์ที่ใช้ SQL Server
  4. คลิกขวาคุณสมบัติ.
  5. คลิกการเนื้อหาแท็บ
  6. คลิกใบรับรอง.
  7. คลิกผู้ใบรับรองหลักที่เชื่อถือได้.
  8. คลิกเพื่อเลือกผู้ให้บริการออกใบรับรอง.
  9. คลิกส่งออกแล้ว คลิกถัดไป.
  10. ในการส่งออกรูปแบบแฟ้มกล่องโต้ตอบ คลิกเข้ารหัสลับข้อความมาตรฐานไวยากรณ์ - การใบรับรอง PKCS #7 (.P7B).
  11. คลิกเพื่อเลือกนั้นรวมใบรับรองทั้งหมดในเส้นทางใบรับรองถ้าเป็นไปได้กล่องกาเครื่องหมาย
  12. เลือกชื่อแฟ้มสำหรับใบรับรองถูกส่งออก ตรวจสอบให้แน่ใจว่า ตำแหน่งที่ตั้งแฟ้ม somewhere ที่คอมพิวเตอร์ไคลเอนต์สามารถเข้าถึงการนำเข้าได้ในภายหลัง
  13. คลิกถัดไปแล้ว คลิกเสร็จสิ้น.
  14. บนคอมพิวเตอร์ไคลเอนต์ เลือกอินเทอร์เน็ตเบราว์เซอร์ของคุณ คลิกขวาคุณสมบัติชี้ไปที่เนื้อหาแล้ว คลิกใบรับรอง.
  15. คลิกการผู้ใบรับรองหลักที่เชื่อถือได้แท็บ
  16. คลิกนำเข้าคลิกถัดไปคลิกเรียกดูแล้ว คลิกการเปลี่ยนแปลงแฟ้มของชนิด: Certificates(*.p7b) 7 # PKCS.
  17. เลือกใบรับรองคุณส่งออกจากเซิร์ฟเวอร์ SQL เพียง และจากนั้น คลิกOPEN. คลิกถัดไป.
  18. คลิกเพื่อเลือกนั้นเก็บใบรับรองที่ขึ้นอยู่กับชนิดของใบรับรองที่เลือกโดยอัตโนมัติกล่องกาเครื่องหมาย
  19. คลิกใช่เมื่อต้องการเพิ่มใบรับรองต่อไปนี้ไปยังเก็บหลัก
  20. คลิกถัดไปแล้ว คลิกเสร็จสิ้น.
  21. เปิดกล่องโต้ตอบกับข้อความ:
    การนำเข้าเสร็จสมบูรณ์.
  22. ตรวจสอบว่า ใบรับรองที่ปรากฏอยู่ภายใต้รากที่เชื่อถือใบรับรองผู้ และที่วัตถุประสงค์ที่ตั้งใจบ่งชี้ทั้งหมด.
  23. คลิกมุมมองเมื่อต้องการตรวจสอบว่า มีข้อผิดพลาดถูกรายงาน ด้วยใบรับรอง
  24. คลิกการเส้นทางใบรับรองแท็บ และจากนั้น ตรวจสอบสถานะของใบรับรองเพื่อดูถ้ามีการตั้งค่าเป็นตกลง.
  25. เปิดยูทิลิตี้การเครือข่ายไคลเอ็นต์ และคลิกเพื่อเลือกนั้นบังคับใช้โพรโทคอลในการเข้ารหัสลับกล่องกาเครื่องหมาย

ทดสอบการเข้ารหัสลับจากไคลเอนต์

เมื่อต้องการทดสอบการเข้ารหัสลับจากไคลเอนต์ ใช้รายการใดรายการหนึ่งในวิธีการต่อไปนี้:
  • ใช้เครื่องมือตัววิเคราะห์คำถาม
  • ใช้โปรแกรมประยุกต์ ODBC ใด ๆ ที่คุณสามารถเปลี่ยนแปลงสายอักขระการเชื่อมต่อ

ตัววิเคราะห์แบบสอบถาม

เมื่อต้องการทดสอบ ด้วยเครื่องมือตัววิเคราะห์คำถาม SQL ดำเนินการดังต่อไปนี้:
  1. ใช้โปรแกรมการเข้าถึงเครือข่ายไคลเอ็นต์ SQL Server
  2. คลิกเพื่อเลือกนั้นบังคับใช้โพรโทคอลในการเข้ารหัสลับกล่องกาเครื่องหมาย
  3. การเชื่อมต่อกับเซิร์ฟเวอร์ที่กำลังเรียกใช้ SQL Server 2000 โดยใช้ตัววิเคราะห์คำถาม
  4. การตรวจสอบการสื่อสาร โดยใช้เครือข่าย Microsoft ตรวจสอบหรือแบบ Sniffer เครือข่าย

โปรแกรมประยุกต์ odbc

เมื่อต้องการทดสอบกับโปรแกรมประยุกต์ ODBC ดำเนินการดังต่อไปนี้:
  1. แก้ไขสายอักขระเชื่อมต่อ ODBC หรือ OLEDB:

    odbc
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    oledb
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. เชื่อมต่อกับคอมพิวเตอร์ที่ใช้ SQL Server 2000 และตรวจสอบการสื่อสาร โดยใช้การตรวจสอบเครือข่ายของ Microsoft หรือแบบ Sniffer เครือข่าย

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
316898วิธีการเปิดใช้งานการเข้ารหัส SSL สำหรับอินสแตนซ์ของ SQL Server โดยใช้คอนโซลการจัดการของ Microsoft

คุณสมบัติ

หมายเลขบทความ (Article ID): 276553 - รีวิวครั้งสุดท้าย: 17 กันยายน 2554 - Revision: 4.0
ใช้กับ
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Keywords: 
kbhowtomaster kbmt KB276553 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:276553

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com