Jak povolit šifrování SSL pro instanci SQL Serveru pomocí Microsoft Management Console

Souhrn

Tento podrobný článek popisuje, jak nainstalovat certifikát do počítače se systémem Microsoft SQL Server pomocí konzola Microsoft Management Console (MMC) a popisuje, jak povolit šifrování SSL na serveru nebo pro konkrétní klienty.

Poznámka: Tuto metodu nelze použít pro certifikát na clusterovém serveru SQL Server. Seskupený instance viz že metoda popsána v části "Povolit použití certifikátu pro protokol SSL v instalaci serveru SQL Server v clusteru," dále v tomto článku.

Pokud vaše společnost provedla certifikační úřad rozlehlé sítě, můžete žádat o certifikáty u samostatného serveru SQL Server a potom použít certifikát pro šifrování protokol SSL (Secure Sockets Layer) (SSL).

Můžete povolit možnost Platnost protokol šifrování na serveru nebo na straně klienta.

Poznámka: Nepovolujte možnost Platnost protokol šifrování na straně klienta i serveru. Chcete-li povolit Platnost protokol šifrování na serveru, pomocí SQL Server Správce konfigurace, v závislosti na verzi serveru SQL Server nebo Server Network Utility. Chcete-li povolit Platnost protokol šifrování na straně klienta, použijte nástroj Client Network Utility nebo SQL Server Správce konfigurace.

Důležité: Pokud povolíte šifrování SSL pomocí nástroj Client Network Utility (pro klienty serveru SQL Server 2000) nebo nativního klienta SQL < verze > konfigurace (32 bitů) nebo nativního klienta SQL < verze > konfigurace stránky v SQL Server Správce konfigurace, všechna připojení z daného klienta bude vyžadovat šifrování SSL pro všechny SQL Server, ke kterému se připojuje tento klient.

Je-li Platnost protokol šifrování na serveru, musíte nainstalovat certifikát na serveru.

Pokud chcete, aby Platnost protokol šifrování na straně klienta, musí mít certifikát na server a klient musí mít důvěryhodné kořenové autority aktualizován tak, aby důvěřovali certifikátu serveru.

Poznámka: Pokud používáte SQL Server Chcete-li povolit šifrované připojení k instanci serveru SQL Server, můžete nastavit hodnotu ForceEncryption možnost Ano. Další informace naleznete v tématu "Povolit šifrování připojení databázový stroj (SQL Server Správce konfigurace)" v SQL Server Books Online:


Nainstalujte certifikát serveru pomocí konzola Microsoft Management Console (MMC)

Chcete-li používat šifrování SSL, musíte nainstalovat certifikát na serveru. Tento postup instalace certifikátu pomocí modulu snap-in konzola Microsoft Management Console (MMC).

Konfigurace modulu Snap-in konzoly MMC
  1. Chcete-li otevřít modul snap-in Certifikáty, postupujte takto:
    1. Chcete-li otevřít konzolu MMC, klepněte na tlačítko Starta potom klepněte na příkaz Spustit. Zadejte do pole Spustit dialogové okno:

      MMC

    2. V nabídce Konzola klepněte na tlačítko Přidat nebo odebrat modul Snap-in....
    3. Klepněte na tlačítko Přidata potom klepněte na tlačítko certifikáty. Znovu klepněte na tlačítko Přidat .
    4. Zobrazí se výzva k otevření modulu snap-in pro aktuální uživatelský účet, účet služby nebo pro účet počítače. Vyberte účet počítače.
    5. Vyberte položku místní počítača potom klepněte na tlačítko Dokončit.
    6. Klepněte na tlačítko Zavřít v dialogovém okně Přidat samostatný modul Snap-in .
    7. Klepněte na tlačítko OK v dialogovém okně Přidat nebo odebrat modul Snap-in . Nainstalovaných certifikátů jsou umístěny ve složce certifikáty do osobního kontejneru.
  2. Chcete-li nainstalovat certifikát na serveru pomocí modulu snap-in konzoly MMC:
    1. Klepnutím vyberte osobní složky v podokně vlevo.
    2. Klepněte pravým tlačítkem myši v pravém podokně, přejděte na příkaz Všechny úkolya potom klepněte na příkaz Požádat o nový certifikát....
    3. Otevře se dialogové okno Průvodce podáním žádosti o certifikát . Klepněte na tlačítko Další. Vyberte certifikát typu je "počítač".
    4. Do pole Popisný název zadejte popisný název certifikátu nebo ponechejte prázdné textové pole a potom dokončete průvodce. Po dokončení Průvodce zobrazí certifikát ve složce počítač plně kvalifikovaný název domény.
    5. Pokud chcete povolit šifrování pro konkrétního klienta nebo klientů, tento krok přeskočit a přejít k části Povolit šifrování pro konkrétního klienta v tomto článku.

      SQL Server 2000povolit šifrování na serveru, otevřete Server Network Utility na serveru, kde je nainstalován certifikát a zaškrtněte políčko platnost protokol šifrování . Restartujte službu MSSQLServer (SQL Server) pro šifrování se projeví. Server je nyní připraven k použití šifrování SSL.

      Pro SQL Server 2005 a novější verze, chcete-li povolit šifrování na serveru spusťte Správce konfigurace serveru SQL a proveďte následující kroky:
      1. V SQL Server Správce konfiguracerozbalte položku Konfigurace sítě serveru SQL, klepněte pravým tlačítkem myši protokoly pro < instance serveru >a vyberte příkaz Vlastnosti.
      2. Na kartě certifikát z rozevírací nabídky certifikátů vyberte požadovaný certifikát a klepněte na tlačítko OK.
      3. Na kartě příznaky ForceEncryption pole klepněte na tlačítko Ano a potom klepněte na tlačítko OK zavřete dialogové okno.
      4. Restartujte službu SQL Server.

Povolit použití certifikátu pro protokol SSL v instalaci serveru SQL Server v clusteru

Certifikát serveru SQL Server používá k šifrování připojení je určena v následujícím klíči registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Tento klíč obsahuje vlastnosti certifikátu, známý jako Miniatura , který identifikuje každý certifikát v serveru. I když existuje správný certifikát v úložišti, bude v prostředí s clustery nastavena tento klíč na hodnotu Null. Chcete-li tento problém vyřešit, je nutné provést následující kroky na každém uzly clusteru po instalaci certifikátu do každého uzlu):

  1. Přejděte do úložiště certifikátů, kde je uložen certifikát plně kvalifikovaný název DOMÉNY. Na stránce Vlastnosti certifikátu přejděte na kartu Podrobnosti a zkopírujte hodnotu kryptografický otisk certifikátu do okna programu Poznámkový blok.
  2. Odebrání mezer mezi znaky šestnáctkové hodnoty kryptografického otisku v programu Poznámkový blok.
  3. Spusťte nástroj regedit a přejděte na následující klíč registru zkopírujte hodnotu z kroku 2:
    HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\< instance >\MSSQLServer\SuperSocketNetLib\Certificate
  4. Pokud virtuální server SQL je nyní v tomto uzlu převzetí služeb při selhání do jiného uzlu v clusteru a restartujte uzel, kde změna registru došlo k chybě.
  5. Opakujte tento postup ve všech uzlech.

Kopie obrazovek tohoto postupu naleznete v následující blogu na webu MSDN:

Povolit šifrování pro konkrétního klienta

Klient může požadovat šifrování SSL musí klientský počítač důvěřovat certifikátu serveru a certifikát již musí existovat na serveru. Je třeba exportovat důvěryhodný kořenový certifikační úřad používá certifikát serveru pomocí modulu snap-in konzoly MMC:
  1. Chcete-li exportovat certifikát serveru důvěryhodného kořenového certifikačního úřadu (CA), postupujte takto:
    1. Spuštění konzoly MMC a poté vyhledejte certifikát v osobní složce.
    2. Klepněte pravým tlačítkem myši název certifikátu a klepněte na tlačítko Otevřít.
    3. Recenze na kartu Cesta k certifikátu Poznámka: Většina hlavní položky.
    4. Přejděte do složky Důvěryhodné kořenové certifikační úřady a potom vyhledejte certifikační úřad uvedeno v kroku c...
    5. Certifikační úřadklepněte pravým tlačítkem myši, přejděte na příkaz Všechny úkolya klepněte na tlačítko Exportovat.
    6. Vyberte všechny výchozí hodnoty a potom uložit exportovaný soubor na disk, kde klientský počítač přístup k souboru.
  2. Následujícím postupem importovat certifikát klientského počítače:
    1. Přejděte do klientského počítače pomocí modulu snap-in konzoly MMC a potom přejděte do složky Důvěryhodné kořenové certifikační úřady .
    2. Klepněte pravým tlačítkem myši na složku Důvěryhodné kořenové certifikační úřady , přejděte na příkaz Všechny úkolya klepněte na tlačítko importovat.
    3. Vyhledejte a vyberte certifikát (soubor .cer), který jste vygenerovali v kroku 1. Vyberte výchozí nastavení dokončete zbývající část průvodce.
    4. Použijte nástroj SQL Server Client Network Utility.
    5. Klepnutím vyberte možnost šifrování protokolu v platnost . Klient je nyní připraven k použití šifrování SSL.

Jak otestovat připojení klienta

Chcete-li otestovat připojení klienta můžete:

  • Pomocí aplikace SQL Management Studio.

    - nebo -
  • Pomocí libovolné aplikace ODBC nebo OLEDB, ve kterém můžete změnit připojovací řetězec.
SQL Server Management Studio


Chcete-li testovat pomocí SQL Server Management Studio, postupujte takto:
  1. Přejděte na stránku konfigurace < verze > klient serveru SQL Server v SQL Server Správce konfigurace.
  2. V okně Vlastnosti nastavte platnost protokol šifrování možnost "Ano".
  3. Připojení k serveru, který je spuštěn SQL Server pomocí SQL Server Management Studio.
  4. Sledování komunikace pomocí nástroje Microsoft Network Monitor nebo sniffer sítě.

ODBC nebo OLEDB řetězce připojení ukázkové aplikace

Pokud použijete připojovací řetězce rozhraní ODBC nebo OLEDB zprostředkovatele jako nativního klienta SQL, přidejte klíčové slovo zašifrovat a nastavte ji na hodnotu true v připojovacím řetězci a pak sledování komunikace pomocí nástroje, například Microsoft Network Monitor nebo síťový sniffer

Poradce při potížích

Po úspěšné instalaci certifikátu, nezobrazí se v seznamu certifikátů na kartě certifikát certifikátu.

Poznámka: Na kartě certifikát je v dialogovém okně protokoly pro < název_instance > vlastnosti otevřeném z modulu snap-in Správce konfigurace serveru SQL.

K tomuto problému dochází, protože je nainstalován platný certifikát. Pokud certifikát není platný, nebude uveden na kartě certifikát . Chcete-li zjistit, zda je platný certifikát, který jste nainstalovali, postupujte takto:
  1. Otevřete modul snap-in Certifikáty. Chcete-li to provést, naleznete v kroku 1 v části "Postup konfigurace modulu Snap-in konzoly MMC".
  2. V modulu snap-in Certifikáty rozbalte osobnía pak rozbalte položku certifikáty.
  3. V pravém podokně vyhledejte certifikát, který jste nainstalovali.
  4. Určete, zda certifikát splňuje následující požadavky:
    • V pravém podokně musí být hodnota ve sloupci Účel určené pro tento certifikát Ověření serveru.
    • V pravém podokně musí být hodnota ve sloupci Vystaveno pro název serveru.
  5. Poklepejte na certifikát a pak určit, zda certifikát splňuje následující požadavky:
    • Na kartě Obecné zobrazí následující zpráva:
      Máte soukromý klíč, který odpovídá tomuto certifikátu.
    • Na kartě Podrobnosti musí být hodnota pole Předmět název serveru.
    • Hodnota pole Použití rozšířeného klíče musí být Ověřování serveru (< číslo >).
    • Na kartě Cesta k certifikátu musí být název serveru v certifikační cestě.
Pokud některý z těchto požadavků není splněn, je certifikát neplatný.
Vlastnosti

ID článku: 316898 - Poslední kontrola: 12. 1. 2017 - Revize: 1

Váš názor