Wie verwendet SQL Server ein Zertifikat bei der Verschlüsselung von Kraft-Protokoll aktiviert ist

Zusammenfassung

Dieser Artikel beschreibt, wie SQL Server verwendet, sucht und ein Zertifikat überprüft, wenn die Option Force Protokollverschlüsselung auf dem Client oder auf dem Server Netzwerkbibliotheks-Verschlüsselung aktivieren aktiviert ist.


Hinweis Die Konzepte und Diskussionen in diesem Artikel auf SQL Server 2000 gelten auch für SQL Server 2005. Jedoch in SQL Server 2005 anstelle der Option ForceEncryption die Option Force Protokollverschlüsselung . Sie können den Wert der ForceEncryption -Option Ja Verschlüsselung Verbindungen für eine Instanz von SQL Server fest. Weitere Informationen finden Sie in der "wie: Verschlüsselung Verbindungen für das Datenbankmodul (SQL Server Configuration Manager)" Thema in der Onlinedokumentation zu SQL Server 2005.

Weitere Informationen

Wie verwendet SQL Server Zertifikate

SQL Server 2000 unterstützt die Option Force Protokollverschlüsselung Netzwerkbibliotheks-Verschlüsselung steuern. Wenn die Verschlüsselung von Kraft Protokoll aktiviert ist, verwendet SQL Server Secure Sockets Layer (SSL) Verschlüsselung der Kommunikation zwischen Client und SQL Server. Da SSL-Verschlüsselung nur mit Instanzen von SQL Server 2000, die auf einem Computer ausgeführt werden, die ein Zertifikat von einer öffentlichen Zertifizierungsstelle zugewiesen wurde, ist ein Zertifikat erforderlich.

Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

276553 wie SSL-Verschlüsselung für SQL Server 2000 mit Certificate Server aktivieren

Weitere Informationen zum Aktivieren der SSL-Verschlüsselung für SQL Server 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:

316898 zum Aktivieren von SSL-Verschlüsselung für SQL Server 2000 mit Microsoft Management Console

Die Option Force Protokollverschlüsselung auf dem Client aktiviert ist mithilfe der SQL Server-Clientkonfiguration, wird nur die Kommunikation für diesen Client zu SQL Server verschlüsselt. Wenn dieser Client versucht, auf einem anderen Computer herstellen, auf dem SQL Server ausgeführt wird, versucht der Client die Kommunikation verschlüsselt. Die Option Force Protokollverschlüsselung auf dem Client aktiviert ist, ist dieser Client nicht mehr abwärtskompatibel. Daher herstellen nicht der Client Microsoft SQL Server 6.5 oder Microsoft SQL Server 7.0. Wenn der Computer mit SQL Server, der Client versucht die Verbindung, kein Zertifikat installiert, empfängt der Client diese Fehlermeldung:


Verschlüsselung wird auf SQL Server nicht unterstützt.
Also wenn ein Client Verschlüsselung anfordert, muss ein Zertifikat werden auf dem Computer installiert, auf dem SQL Server ausgeführt wird. Nachdem Sie das Zertifikat auf dem Computer, auf dem SQL Server ausgeführt wird installieren, müssen Sie SQL Server neu starten, um das Zertifikat zu verwenden. Wenn Sie SQL Server nach der Installation des Zertifikats nicht neu starten, Clients mit Verschlüsselung aktiviert nicht verbinden und die gleiche Fehlermeldung angezeigt wird:


Verschlüsselung wird auf SQL Server nicht unterstützt.
Die Option Force Protokollverschlüsselung auf dem Server aktiviert ist mithilfe der SQL Server-Netzwerkkonfiguration, wird die Kommunikation zwischen allen Clients und SQL Server verschlüsselt. Daher wird ein Zertifikat auf dem Computer, auf dem SQL Server ausgeführt wird, nicht installiert ist oder wenn SQL Server das Zertifikat überprüfen kann, SQL Server gestartet. SQL Server-Fehlerprotokoll haben diesen Text:



2001-08-23 15:12:09.48 Server angeforderte aber kein Verschlüsselungszertifikat gefunden. SQL Server wird beendet.
2001-08-23 15:12:09.62 Server-Fehler: 17826, Schweregrad: 18, Status: 1
2001-08-23 15:12:09.62 Server konnte Netzwerkbibliothek 'SSNETLIB' nicht eingerichtet.
2001-08-23 15:12:09.67 Server-Fehler: 17059, Schweregrad: 18, Status: 0
2001-08-23 15:12:09.67 Server-Fehler-1073723998:...
2001-08-23 15:12:09.67 Server konnte keine Netlibs geladen.
2001-08-23 15:12:09.74 Server SQL Server konnte keine FRunCM Thread erzeugen.

Wie findet SQL Server ein Zertifikat

SQL Server 2000 goldene finden SQL Server prüft der Zertifikatsspeicher ein Zertifikat mit demselben Namen als die vollständig qualifizierten Domänennamen System (FQDN) des SQL Server-Computernamens finden. Wenn Sie SQL Server mit einem Failovercluster bereitstellen, müssen Sie das Serverzertifikat mit dem vollqualifizierten Domänennamen des virtuellen Servers auf allen Knoten im Failovercluster installieren.

Starten Microsoft SQL Server 2000 Service Pack 1, durchsucht SQL Server binäre Zertifikat in diesem Registrierungsschlüssel mit dem Namen:

HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Wenn Sie SQL Server 2005 verwenden, finden Sie den Zertifikat -Registrierungseintrag unter dem folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib

Hinweis MSSQL.x ist ein Platzhalter für den entsprechenden Wert der Instanz von SQL Server.

Wenn Wert Zertifikat fehlt oder auf eine Zeichenfolge der Länge 0, SQL Server untersucht den Zertifikatspeicher kein Zertifikat mit dem gleichen Namen wie der FQDN des SQL Server-Computer gefunden. Wenn der Registrierungswert festgelegt ist, versucht SQL Server das Zertifikat.

Wie SQL Server überprüft, ob ein Zertifikat gültig ist

  • Das Zertifikat Erweiterte Schlüsselverwendung Eigenschaft hat für die Authentifizierung aktiviert sein. Um sicherzustellen, dass das Zertifikat für die Authentifizierung verwendet wird, mithilfe der Microsoft Management Console (MMC) Zertifikat-Snap-in Doppelklicken Sie auf den Zertifikatnamen, und wählen Sie Details. Klicken Sie auf die Erweiterte Schlüsselverwendung , und stellen Sie sicher, dass der Wert:
        Server Authentication(1.3.6.1.5.5.7.3.1).  
  • Stellen Sie sicher, dass der Name der SQL Server-FQDN oder der Wert in der Registrierung (wie zuvor beschrieben) übereinstimmt.
  • Während Sie als SQL Server-Konto angemeldet sind, müssen Sie das Zertifikat in den Ordner Zertifikate - Aktueller Benutzer \Personal installieren. Dadurch wird sichergestellt, dass das Zertifikat im Ordner Eigene Zertifikate des SQL Server-Startkonto gestellt wird. Wenn Sie mit einem Benutzerkonto, die SQL Server-Startkonto unterscheidet angemeldet haben, legen Sie das Zertifikat im Ordner Certificates\Local Computer Personal Certificates . Diese Aktion löst das Problem der falschen Benutzerkonto gespeicherten Zertifikate.

    Gehen Sie folgendermaßen vor, um den Aktuellen Benutzer Ordner anzuzeigen:
    1. Melden Sie sich als SQL Server-Konto.
    2. MMC Zertifikate-Snap-in verwenden Sie, um den Speicherort des Zertifikats überprüfen.
Eigenschaften

Artikelnummer: 318605 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback