Souhrn

Tento podrobný článek popisuje, jak nainstalovat certifikát do počítače se systémem Microsoft SQL Server pomocí konzola Microsoft Management Console (MMC) a popisuje, jak povolit šifrování SSL na serveru nebo pro konkrétní klienty.

Poznámka: Tuto metodu nelze použít pro certifikát na clusterovém serveru SQL Server. Seskupený instance viz že metoda popsána v části "Povolit použití certifikátu pro protokol SSL v instalaci serveru SQL Server v clusteru," dále v tomto článku.

Pokud vaše společnost provedla certifikační úřad rozlehlé sítě, můžete žádat o certifikáty u samostatného serveru SQL Server a potom použít certifikát pro šifrování protokol SSL (Secure Sockets Layer) (SSL).

Můžete povolit možnost Platnost protokol šifrování na serveru nebo na straně klienta.

Poznámka: Chcete-li povolit Platnost protokol šifrování na serveru, pomocí SQL Server Správce konfigurace, v závislosti na verzi serveru SQL Server nebo Server Network Utility. Chcete-li povolit Platnost protokol šifrování na straně klienta, použijte nástroj Client Network Utility nebo SQL Server Správce konfigurace.

Důležité: Pokud povolíte šifrování SSL pomocí nástroj Client Network Utility (pro klienty serveru SQL Server 2000) nebo nativního klienta SQL < verze > konfigurace (32 bitů) nebo nativního klienta SQL stránky < verze > konfigurace v konfiguraci serveru SQL Manager, všechna připojení z daného klienta požadovat šifrování SSL pro všechny SQL Server, ke kterému se připojuje tento klient.

Je-li Platnost protokol šifrování na serveru, musíte nainstalovat certifikát na serveru.

Pokud chcete, aby Platnost protokol šifrování na straně klienta, musí mít certifikát na server a klient musí mít důvěryhodné kořenové autority aktualizován tak, aby důvěřovali certifikátu serveru.

Poznámka: Pokud používáte SQL Server Chcete-li povolit šifrované připojení k instanci serveru SQL Server, můžete nastavit hodnotu ForceEncryption možnost Ano. Další informace naleznete v tématu "Povolit šifrování připojení databázový stroj (SQL Server Správce konfigurace)" v SQL Server Books Online:

http://msdn.microsoft.com/en-us/library/ms191192(v=sql.110).aspx#ConfigureServerConnections

Nainstalujte certifikát serveru pomocí konzola Microsoft Management Console (MMC)

Chcete-li používat šifrování SSL, musíte nainstalovat certifikát na serveru. Tento postup instalace certifikátu pomocí modulu snap-in konzola Microsoft Management Console (MMC).

Konfigurace modulu Snap-in konzoly MMC

  1. Chcete-li otevřít modul snap-in Certifikáty, postupujte takto:

    1. Chcete-li otevřít konzolu MMC, klepněte na tlačítko Starta potom klepněte na příkaz Spustit. Zadejte do pole Spustit dialogové okno:

      KONZOLY MMC

    2. V nabídce Konzola klepněte na tlačítko Přidat nebo odebrat modul Snap-in....

    3. Klepněte na tlačítko Přidata potom klepněte na tlačítko certifikáty. Znovu klepněte na tlačítko Přidat .

    4. Zobrazí se výzva k otevření modulu snap-in pro aktuální uživatelský účet, účet služby nebo pro účet počítače. Vyberte účet počítače.

    5. Vyberte položku místní počítača potom klepněte na tlačítko Dokončit.

    6. Klepněte na tlačítko Zavřít v dialogovém okně Přidat samostatný modul Snap-in .

    7. Klepněte na tlačítko OK v dialogovém okně Přidat nebo odebrat modul Snap-in . Nainstalovaných certifikátů jsou umístěny ve složce certifikáty do osobního kontejneru.

  2. Chcete-li nainstalovat certifikát na serveru pomocí modulu snap-in konzoly MMC:

    1. Klepnutím vyberte osobní složky v podokně vlevo.

    2. Klepněte pravým tlačítkem myši v pravém podokně, přejděte na příkaz Všechny úkolya potom klepněte na příkaz Požádat o nový certifikát....

    3. Otevře se dialogové okno Průvodce podáním žádosti o certifikát . Klepněte na tlačítko Další. Vyberte certifikát typu je "počítač".

    4. Do pole Popisný název zadejte popisný název certifikátu nebo ponechejte prázdné textové pole a potom dokončete průvodce. Po dokončení Průvodce zobrazí certifikát ve složce počítač plně kvalifikovaný název domény.

    5. Pokud chcete povolit šifrování pro konkrétního klienta nebo klientů, tento krok přeskočit a přejít k části Povolit šifrování pro konkrétního klienta v tomto článku.

      SQL Server 2000povolit šifrování na serveru, otevřete Server Network Utility na serveru, kde je nainstalován certifikát a zaškrtněte políčko platnost protokol šifrování . Restartujte službu MSSQLServer (SQL Server) pro šifrování se projeví. Server je nyní připraven k použití šifrování SSL.

      Pro SQL Server 2005 a novější verze, chcete-li povolit šifrování na serveru spusťte Správce konfigurace serveru SQL a proveďte následující kroky:

      1. V SQL Server Správce konfiguracerozbalte položku Konfigurace sítě serveru SQL, klepněte pravým tlačítkem myši protokoly pro < instance serveru >a vyberte příkaz Vlastnosti.

      2. Na kartě certifikát z rozevírací nabídky certifikátů vyberte požadovaný certifikát a klepněte na tlačítko OK.

      3. Na kartě příznaky ForceEncryption pole klepněte na tlačítko Ano a potom klepněte na tlačítko OK zavřete dialogové okno.

      4. Restartujte službu SQL Server.

Povolit použití certifikátu pro protokol SSL v instalaci serveru SQL Server v clusteru

Certifikát serveru SQL Server používá k šifrování připojení je určena v následujícím klíči registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Tento klíč obsahuje vlastnosti certifikátu, známý jako Miniatura , který identifikuje každý certifikát v serveru. I když existuje správný certifikát v úložišti, bude v prostředí s clustery nastavena tento klíč na hodnotu Null. Chcete-li tento problém vyřešit, je nutné provést následující kroky na každém uzly clusteru po instalaci certifikátu do každého uzlu):

  1. Přejděte do úložiště certifikátů, kde je uložen certifikát plně kvalifikovaný název domény. Na stránce Vlastnosti certifikátu přejděte na kartu Podrobnosti a zkopírujte hodnotu kryptografický otisk certifikátu do okna programu Poznámkový blok.

  2. Odebrání mezer mezi znaky šestnáctkové hodnoty kryptografického otisku v programu Poznámkový blok.

  3. Spusťte nástroj regedit a přejděte na následující klíč registru zkopírujte hodnotu z kroku 2:

    HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\< instance >\MSSQLServer\SuperSocketNetLib\Certificate

  4. Pokud virtuální server SQL je nyní v tomto uzlu převzetí služeb při selhání do jiného uzlu v clusteru a restartujte uzel, kde změna registru došlo k chybě.

  5. Opakujte tento postup ve všech uzlech.


Kopie obrazovek tohoto postupu naleznete v následující blogu na webu MSDN:

http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enabling-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx

Povolit šifrování pro konkrétního klienta

Klient může požadovat šifrování SSL musí klientský počítač důvěřovat certifikátu serveru a certifikát již musí existovat na serveru. Je třeba exportovat důvěryhodný kořenový certifikační úřad používá certifikát serveru pomocí modulu snap-in konzoly MMC:

  1. Chcete-li exportovat certifikát serveru důvěryhodného kořenového certifikačního úřadu (CA), postupujte takto:

    1. Spuštění konzoly MMC a poté vyhledejte certifikát v osobní složce.

    2. Klepněte pravým tlačítkem myši název certifikátu a klepněte na tlačítko Otevřít.

    3. Recenze na kartu Cesta k certifikátu Poznámka: Většina hlavní položky.

    4. Přejděte do složky Důvěryhodné kořenové certifikační úřady a potom vyhledejte certifikační úřad uvedeno v kroku c...

    5. Certifikační úřadklepněte pravým tlačítkem myši, přejděte na příkaz Všechny úkolya klepněte na tlačítko Exportovat.

    6. Vyberte všechny výchozí hodnoty a potom uložit exportovaný soubor na disk, kde klientský počítač přístup k souboru.

  2. Následujícím postupem importovat certifikát klientského počítače:

    1. Přejděte do klientského počítače pomocí modulu snap-in konzoly MMC a potom přejděte do složky Důvěryhodné kořenové certifikační úřady .

    2. Klepněte pravým tlačítkem myši na složku Důvěryhodné kořenové certifikační úřady , přejděte na příkaz Všechny úkolya klepněte na tlačítko importovat.

    3. Vyhledejte a vyberte certifikát (soubor .cer), který jste vygenerovali v kroku 1. Vyberte výchozí nastavení dokončete zbývající část průvodce.

    4. Použijte nástroj SQL Server Client Network Utility.

    5. Klepnutím vyberte možnost šifrování protokolu v platnost . Klient je nyní připraven k použití šifrování SSL.

Jak otestovat připojení klienta

Chcete-li otestovat připojení klienta můžete:

  • Pomocí aplikace SQL Management Studio.

    - nebo -

  • Pomocí libovolné aplikace ODBC nebo OLEDB, ve kterém můžete změnit připojovací řetězec.

SQL Server Management Studio


Chcete-li testovat pomocí SQL Server Management Studio, postupujte takto:

  1. Přejděte na stránku konfigurace < verze > klient serveru SQL Server v SQL Server Správce konfigurace.

  2. V okně Vlastnosti nastavte platnost protokol šifrování možnost "Ano".

  3. Připojení k serveru, který je spuštěn SQL Server pomocí SQL Server Management Studio.

  4. Sledování komunikace pomocí nástroje Microsoft Network Monitor nebo sniffer sítě.


ODBC nebo OLEDB řetězce připojení ukázkové aplikace

Je-li použít připojovací řetězce rozhraní ODBC nebo OLEDB zprostředkovatele jako nativního klienta SQL, přidejte klíčové slovo zašifrovat a nastavena na hodnotu true v připojovacím řetězci a pak sledování komunikace pomocí nástroje, například Microsoft Network Monitor nebo síťový sniffer

Poradce při potížích

Po úspěšné instalaci certifikátu, nezobrazí se v seznamu certifikátů na kartě certifikát certifikátu.

Poznámka: Na kartě certifikát je v dialogovém okně protokoly pro < název_instance > vlastnosti otevřeném z modulu snap-in Správce konfigurace serveru SQL.

K tomuto problému dochází, protože je nainstalován platný certifikát. Pokud certifikát není platný, nebude uveden na kartě certifikát . Chcete-li zjistit, zda je platný certifikát, který jste nainstalovali, postupujte takto:

  1. Otevřete modul snap-in Certifikáty. Chcete-li to provést, naleznete v kroku 1 v části "Postup konfigurace modulu Snap-in konzoly MMC".

  2. V modulu snap-in Certifikáty rozbalte osobnía pak rozbalte položku certifikáty.

  3. V pravém podokně vyhledejte certifikát, který jste nainstalovali.

  4. Určete, zda certifikát splňuje následující požadavky:

    • V pravém podokně musí být hodnota ve sloupci Účel určené pro tento certifikát Ověření serveru.

    • V pravém podokně musí být hodnota ve sloupci Vystaveno pro název serveru.

  5. Poklepejte na certifikát a pak určit, zda certifikát splňuje následující požadavky:

    • Na kartě Obecné zobrazí následující zpráva:

      Máte soukromý klíč, který odpovídá tomuto certifikátu.

    • Na kartě Podrobnosti musí být hodnota pole Předmět název serveru.

    • Hodnota pole Použití rozšířeného klíče musí být Ověřování serveru (< číslo >).

    • Na kartě Cesta k certifikátu musí být název serveru v certifikační cestě.

Pokud některý z těchto požadavků není splněn, je certifikát neplatný.

Další informace

Pokud dojde k chybě 17182, naleznete v následujícím článku podrobné informace a řešení:

SQL Server spuštění nezdaří s chybou 17182 "TDSSNIClient inicializace se nezdařila s chybou 0xd, kód stavu 0x38" Pokud je server nakonfigurován pro použití protokolu SSL


Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti

Projít školení >

Získejte nové funkce jako první

Připojit se k programu Microsoft Insider >

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×