如何使用 Microsoft 管理主控台來啟用 SSL 加密的 SQL Server 執行個體

文章翻譯 文章翻譯
文章編號: 316898 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將逐步告訴您,如何使用 Microsoft 管理主控台 (MMC) 執行 Microsoft SQL Server,並說明如何在伺服器上,或為特定的用戶端啟用 SSL 加密的電腦上安裝憑證。

附註若要讓 SQL Server 叢集伺服器上的憑證,您無法使用這個方法。為叢集執行個體,請參閱方法下"啟用憑證用於 SSL 在叢集的 SQL Server 安裝,"稍後將說明這份文件。

如果您的公司已企業憑證授權單位,可以要求憑證是 SQL Server 的獨立伺服器,並再使用安全通訊端層 (SSL) 加密憑證。

您可以啟用在伺服器上或在用戶端中的 [強制通訊協定加密] 選項。

附註請不要啟用用戶端與伺服器上的 [強制通訊協定加密] 選項。若要啟用 [強制通訊協定加密在伺服器上,請使用伺服器網路公用程式 」 或 「 SQL Server 組態管理員] 中,視 SQL Server 的版本而定。若要啟用 [強制通訊協定加密用戶端上,使用用戶端網路公用程式] 或 [SQL Server 組態管理員。

重要如果您使用 「 用戶端網路公用程式 」 (適用於 SQL Server 2000年用戶端) 或原生 SQL 的用戶端啟用 SSL 加密 <version></version>設定 (32 位元)] 或 [SQL 原生的用戶端<version></version>設定頁面 SQL Server 組態管理員] 中,所有來自該用戶端將都要求 SSL 加密以該用戶端所連接的任何 SQL Server。

如果您在伺服器上啟用強制通訊協定加密,您必須在伺服器上安裝憑證。

如果您想要啟用用戶端上的 [強制通訊協定加密,您必須在伺服器上擁有憑證,用戶端必須有信任的根授權,而此一更新,以便信任伺服器憑證。

附註如果您使用 SQL Server 以啟用 SQL Server 執行個體的加密的連線,您可以設定 [ ForceEncryption ] 選項的值為 [是]。如需詳細資訊,請參閱 SQL Server 線上叢書 》 中的 「 資料庫引擎 (SQL Server 組態管理員) 的啟用加密連線 」:

http://msdn.microsoft.com/en-us/library/ms191192 (v=sql.110).aspx #ConfigureServerConnections

使用 Microsoft 管理主控台 (MMC) 的伺服器上安裝憑證

若要使用 SSL 加密,您必須在伺服器上安裝憑證。請依照下列步驟執行,以使用 Microsoft 管理主控台 (MMC) 嵌入式管理單元安裝憑證。

如何設定 [MMC 嵌入式管理單元
  1. 若要開啟 [憑證] 嵌入式管理單元,請依照下列步驟執行:
    1. 若要開啟的 MMC 主控台中,按一下 [開始],然後按一下執行。在 [執行] 對話方塊] 方塊中輸入:

      MMC
    2. 在 [主控台] 功能表上按一下 [新增/移除嵌入式管理單元-英吋..
    3. 按一下 [新增],然後按一下 [憑證]。再次按一下 [新增]。
    4. 系統會提示您開啟嵌入式管理單元針對目前的使用者帳戶的服務帳戶,或電腦帳戶。選取的電腦帳戶
    5. 選取本機電腦],然後按一下 [完成]
    6. 按一下 [關閉[新增獨立嵌入式管理單元] 對話方塊中。
    7. 按一下 [新增/移除嵌入式管理單元] 對話方塊中的[確定] 。您已安裝的憑證位於 [個人] 容器中的 [憑證] 資料夾中。
  2. 在伺服器上安裝憑證,請使用 [MMC 嵌入式管理單元:
    1. 按一下以選取左邊窗格中的 [個人] 資料夾。
    2. 在右邊窗格上按一下滑鼠右鍵,指向 [所有工作],然後按一下要求新憑證
    3. [憑證要求精靈] 對話方塊隨即開啟。按一下 [下一步]。選取型別是 「 電腦 」 憑證
    4. 好記的名稱] 文字方塊中您可以鍵入憑證好記的名稱或文字] 方塊保留空白,,然後完成精靈。在精靈完成後,您會看到完整的電腦網域名稱的資料夾中的憑證。
    5. 如果您想要針對特定的用戶端或用戶端啟用加密,跳過這個步驟,然後繼續進行 針對特定的用戶端啟用加密 這份文件區段。

      對於SQL Server 2000年中,啟用加密在伺服器,請開啟 「 伺服器網路公用憑證安裝所在的伺服器,然後按一下以選取 強制通訊協定加密 核取方塊。重新啟動 (SQL Server) MSSQLServer 服務進行加密,才會生效。您的伺服器現在已準備好使用 SSL 加密的。

      對於SQL Server 2005 和更新版本中,若要啟用加密在伺服器上,開啟 [SQL Server 組態管理員],然後執行下列:
      1. SQL Server 組態管理員] 中,展開 [ SQL Server 網路設定中,以滑鼠右鍵按一下 [通訊協定<server instance=""></server>然後選取屬性
      2. 在 [憑證] 索引標籤中,從 [憑證] 下拉功能表中,選取所需的憑證,然後按一下[確定]
      3. 在 [旗標] 索引標籤中,在 [ ForceEncryption ] 方塊中,選取 [是] ,然後按一下[確定]以關閉對話方塊。
      4. 重新啟動 SQL Server 服務。

啟用 SSL 的憑證,在 SQL Server 叢集安裝

SQL Server 用來加密連線的憑證是在下列登錄機碼來指定:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

此機碼含有稱為 [用來識別每個伺服器中的憑證指模的憑證屬性。在叢集環境中,這個機碼會設定為 Null 即使有正確的憑證存放區中。如果要解決這個問題,您必須採取這些額外的步驟,每個叢集節點的每個節點安裝憑證之後):

  1. 瀏覽至儲存 FQDN 憑證的憑證存放區。在 [憑證內容] 頁面中,前往 [詳細資料] 索引標籤,將憑證的指紋值複製到 「 記事本 」 視窗。
  2. 移除指紋值在 「 記事本 」 中的十六進位字元間的間距。
  3. 啟動 regedit、 瀏覽到下列的登錄機碼,並將值複製步驟 2:
    HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\<instance></instance>\MSSQLServer\SuperSocketNetLib\Certificate
  4. 如果 SQL 虛擬伺服器目前在此節點中,容錯移轉至您的叢集中的另一個節點,然後重新啟動的節點,登錄中變更時發生。
  5. 重複此程序所有節點上。

此程序的螢幕擷取畫面,請參閱下列 MSDN 上張貼的部落格:

http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enabling-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx

針對特定的用戶端啟用加密

用戶端要求 SSL 加密,用戶端電腦必須信任伺服器憑證,憑證必須已經存在於伺服器。您必須使用 [MMC 嵌入式管理單元來匯出信任的根憑證授權單位的伺服器憑證所使用的:
  1. 若要匯出伺服器憑證的信任根憑證授權單位 (CA),請依照下列步驟執行:
    1. 開啟 MMC,然後在 [個人] 資料夾中尋找您的憑證。
    2. 憑證名稱,以滑鼠右鍵按一下,然後按一下 [開啟
    3. 檢閱 [憑證路徑] 索引標籤中,請注意頂端的大部分項目。
    4. 瀏覽至 [信任的根憑證授權] 資料夾,然後找出另有註明的憑證授權單位在步驟 c...
    5. CA上按一下滑鼠右鍵、 指向 [所有工作],然後按一下 [匯出]。
    6. 選取所有的預設值,然後再將匯出的檔案儲存到硬碟,讓用戶端電腦可以存取該檔案。
  2. 請依照下列步驟執行,以在用戶端電腦將憑證匯入:
    1. 使用 [MMC 嵌入式管理單元,瀏覽至用戶端電腦,然後瀏覽至 [信任的根憑證授權] 資料夾。
    2. [受信任的根憑證授權單位] 資料夾上按一下滑鼠右鍵、 指向 [所有工作],然後按一下 [匯入
    3. 瀏覽],然後選取您在步驟 1 中所產生的憑證 (.cer 檔案)。選取 [預設值,以完成精靈的其餘部分。
    4. 使用 SQL Server 用戶端網路公用程式。
    5. 按一下以選取 [強制通訊協定加密] 選項。您的用戶端現在已經可以使用 SSL 加密的。

如何測試您的用戶端連線

若要測試您的用戶端連線您可以:
  • 使用 SQL Management Studio。

    -或者-
  • 使用任何 ODBC 或 OLEDB 應用程式,您可以在其中變更連接字串。
SQL Server Management Studio


若要測試與 SQL Server Management Studio,請遵循下列步驟:
  1. 瀏覽至 SQL Server 用戶端<version></version>在 SQL Server 組態管理員] 組態頁面。
  2. 在 [屬性] 視窗中,設定 [強制通訊協定加密] 選項,以 「 是 」。
  3. 連接使用 SQL Server Management Studio 執行 SQL Server 的伺服器。
  4. 使用 Microsoft 網路監視器 」 或 「 網路竊聽程式,以監視通訊。

ODBC 或 OLEDB 應用程式連線字串範例

如果您使用 ODBC 或 OLEDB 類似 SQL 的原生用戶端提供者的連接字串,將加密關鍵字加入並將它設定為true 表示在您的連接字串,然後監視 [使用 Microsoft 這類的工具的通訊「 網路監視器或網路 sniffer

疑難排解

您已成功安裝憑證之後,憑證沒有出現在 憑證 清單在 憑證 索引標籤。

附註[ 憑證 索引標籤位於 通訊協定 <InstanceName></InstanceName> 屬性 開啟從 SQL Server 組態管理員] 對話方塊。

您也可能安裝不正確的憑證,就會發生這個問題。如果憑證不正確的它將不會列在 憑證 索引標籤。如果要判斷您所安裝的憑證是否有效,請依照下列步驟執行:
  1. 開啟 [憑證] 嵌入式管理單元。若要執行這項操作,請參閱步驟 1 中的 〈 如何設定 [MMC 嵌入式管理單元 〉 一節。
  2. 在 [憑證] 嵌入式管理單元中,展開 個人然後展開 憑證.
  3. 在右窗格中,找出您所安裝的憑證。
  4. 判斷憑證是否符合下列需求:
    • 在右窗格中的值 使用的目的 對這個憑證的資料行必須是 伺服器驗證.
    • 在右窗格中的值 發行給 資料行必須是伺服器名稱。
  5. 連按兩下 [憑證],然後再判斷憑證是否符合下列需求:
    • 在上 一般 索引標籤上,您會收到下列訊息:
      您有一個與此憑證對應的私密金鑰。
    • 在上 詳細資料 索引標籤上的值 主旨 欄位必須是伺服器名稱。
    • 增強金鑰使用方法 欄位必須是 伺服器驗證 (<number></number>).
    • 在上 憑證路徑 伺服器名稱必須出現在索引標籤上, 憑證路徑.
如果不符合這些需求的任何一個,此憑證不正確。

屬性

文章編號: 316898 - 上次校閱: 2013年6月12日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
關鍵字:?
kbsqlsetup kbhowtomaster kbmt KB316898 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:316898
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com