Résumé

Cet article explique étape par étape comment installer un certificat sur un serveur qui exécute Microsoft SQL Server en utilisant la console MMC (Microsoft Management Console) et comment activer le chiffrement SSL sur le serveur ou pour des clients spécifiques.

Remarque Vous ne pouvez pas utiliser cette méthode pour placer un certificat sur un serveur en cluster SQL Server. Pour une instance en cluster, reportez-vous à la méthode décrite à la section « Activer un certificat pour SSL sur une installation en cluster SQL Server » plus loin dans cet article. 

Si votre société a mis en place une autorité de certification d’entreprise, vous pouvez demander des certificats pour un serveur autonome SQL Server, puis utiliser le certificat pour le chiffrement SSL (Secure Sockets Layer).

Vous pouvez activer l'option Forcer le chiffrement du protocole sur le serveur ou sur le client. 

Remarque : pour activer l'option Forcer le chiffrement du protocole sur le serveur, utilisez l'utilitaire réseau serveur ou le Gestionnaire de configuration SQL Server en fonction de la version de SQL Server. Pour activer l'option Forcer le chiffrement du protocole sur le client, utilisez l'utilitaire réseau client ou le Gestionnaire de configuration SQL Server.  

Important Si vous activez le chiffrement SSL à l'aide de l'utilitaire de réseau client (pour les clients SQL Server 2000) ou de la page Configuration de SQL Native Client <version> (32 bits) ou Configuration de SQL Native Client <version> dans le Gestionnaire de configuration SQL Server, toutes les connexions de ce client nécessitent le chiffrement SSL sur tous les serveurs SQL Server auxquels ce client se connecte.

Si vous activez l’option Forcer le chiffrement du protocole sur le serveur, vous devez installer un certificat sur le serveur.

Si vous voulez activer l’option Forcer le chiffrement du protocole sur le client, vous devez avoir un certificat sur le serveur et le client doit avoir l’autorité racine de confiance mise à jour pour approuver le certificat de serveur.

Remarque : si vous utilisez SQL Server pour activer les connexions chiffrées pour une instance de SQL Server, vous pouvez définir la valeur de l'option ForceEncryption sur Oui. Pour plus d’informations, consultez l’article « Activer les connexions chiffrées dans le moteur de base de données (Gestionnaire de configuration SQL Server) » dans la documentation en ligne de SQL Server :

http://msdn.microsoft.com/fr-fr/library/ms191192(v=sql.110).aspx#ConfigureServerConnections

Installer un certificat sur un serveur à l’aide de la console MMC

Pour utiliser le chiffrement SSL, vous devez installer un certificat sur le serveur. Pour installer le certificat en utilisant le composant logiciel enfichable MMC, procédez comme suit.

Comment configurer le composant logiciel enfichable MMC

  1. Pour ouvrir le composant logiciel enfichable Certificats, procédez comme suit :

    1. Pour ouvrir la console MMC, cliquez sur Démarrer, puis sur Exécuter. Dans la bo&icirc;te de dialogue Exécuter, tapez :

      MMC

    2. Dans le menu Console, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

    3. Cliquez sur Ajouter, puis sur Certificats. Cliquez à nouveau sur Ajouter.

    4. Vous êtes invité à ouvrir le composant logiciel enfichable pour le compte d’utilisateur actuel, un compte de service ou un compte d’ordinateur. Sélectionnez l’option Un compte d’ordinateur.

    5. Sélectionnez l’option L’ordinateur local, puis cliquez sur Terminer.

    6. Cliquez sur Fermer dans la bo&icirc;te de dialogue Ajout d’un composant logiciel enfichable autonome.

    7. Cliquez sur OK dans la bo&icirc;te de dialogue Ajouter/Supprimer un composant logiciel enfichable. Vos certificats installés se trouvent dans le dossier Certificats du conteneur Personnel.

  2. Utilisez le composant logiciel enfichable MMC pour installer le certificat sur le serveur :

    1. Sélectionnez le dossier Personnel dans le volet gauche.

    2. Cliquez avec le bouton droit dans le volet droit, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.

    3. La bo&icirc;te de dialogue Assistant Demande de certificat s’affiche. Cliquez sur Suivant. Sélectionnez Le type de certificat est « ordinateur ».

    4. Dans la zone de texte Nom convivial, vous pouvez taper un nom convivial pour le certificat ou laisser la zone de texte vide, puis terminer l’exécution de l’Assistant. Après l’exécution de l’Assistant, le certificat s’affiche dans le dossier avec le nom de domaine de l’ordinateur complet.

    5. Si vous souhaitez activer le chiffrement pour un ou plusieurs clients spécifiques, ignorez cette étape et passez à la section Activer le chiffrement pour un client spécifique de cet article.

      Pour activer le chiffrement sur un serveur SQL Server 2000, ouvrez l’utilitaire réseau serveur sur le serveur oÙ le certificat est installé, puis activez la case à cocher Forcer le chiffrement du protocole. Redémarrez le service MSSQLServer (SQL Server) pour que le chiffrement soit pris en compte. Votre serveur est désormais prêt pour utiliser le chiffrement SSL.

      Pour activer le chiffrement sur un serveur SQL Server 2005 ou version ultérieure, ouvrez le Gestionnaire de configuration SQL Server et procédez comme suit :

      1. Dans le Gestionnaire de configuration SQL Server, développez Configuration du réseau SQL Server, cliquez avec le bouton droit sur Protocoles pour <instance serveur>, puis sélectionnez Propriétés.

      2. Sous l'onglet Certificat, sélectionnez le certificat souhaité dans le menu déroulant Certificat puis cliquez sur OK.

      3. Sous l’onglet Indicateurs, sélectionnez Oui dans la zone ForceEncryption, puis cliquez sur OK pour fermer la bo&icirc;te de dialogue.

      4. Redémarrez le service SQL Server.

Activer un certificat pour SSL sur une installation en cluster SQL Server

Le certificat utilisé par SQL Server pour chiffrer les connexions est spécifié dans la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Cette clé contient une propriété du certificat appelée « empreinte » qui identifie chaque certificat sur le serveur. Dans un environnement en cluster, cette clé a la valeur Null, même si le certificat correct existe dans le magasin. Pour résoudre ce problème, vous devez effectuer les étapes supplémentaires ci-dessous sur chaque nœud de cluster après l’installation du certificat sur chaque nœud :

  1. Accédez au magasin de certificats qui contient le certificat FQDN. Sur la page de propriétés du certificat, accédez à l’onglet Détails, puis copiez la valeur de l’empreinte du certificat dans une fenêtre du Bloc-notes.

  2. Supprimez les espaces entre les caractères hexadécimaux dans la valeur de l’empreinte dans le Bloc-notes.

  3. Démarrez regedit, recherchez la clé de Registre suivante et copiez la valeur de l’étape 2 :

    HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\<instance>\MSSQLServer\SuperSocketNetLib\Certificate

  4. Si le serveur virtuel SQL est actuellement sur ce nœud, basculez vers un autre nœud de votre cluster, puis redémarrez le nœud sur lequel la modification du Registre a été effectuée.

  5. Répétez cette procédure sur chaque nœud.


Pour obtenir des captures d’écran de cette procédure, consultez le billet de blog suivant sur MSDN:

http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enabling-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx

Activer le chiffrement pour un client spécifique

Pour que le client demande le chiffrement SSL, l’ordinateur client doit approuver le certificat du serveur et le certificat doit déjà exister sur le serveur. Vous devez utiliser le composant logiciel enfichable MMC pour exporter l’autorité de certification racine de confiance utilisée par le certificat de serveur :

  1. Pour exporter l’autorité de certification racine de confiance du certificat de serveur, procédez comme suit :

    1. Ouvrez la console MMC, puis recherchez votre certificat dans le dossier Personnel.

    2. Cliquez avec le bouton droit sur le nom du certificat, puis cliquez sur Ouvrir.

    3. Vérifiez l’onglet Chemin d’accès de certification. Notez l’élément tout en haut.

    4. Naviguez jusqu’au dossier Autorités de certification racines de confiance, puis recherchez l’autorité de certification notée à l’étape c.

    5. Cliquez avec le bouton droit sur Autorité de certification, pointez sur Toutes les tâches, puis cliquez sur Exporter.

    6. Sélectionnez tous les éléments par défaut, puis enregistrez le fichier exporté sur votre disque oÙ l’ordinateur client peut accéder au fichier.

  2. Pour importer le certificat sur l’ordinateur client, procédez comme suit :

    1. Naviguez jusqu’à l’ordinateur client en utilisant le composant logiciel enfichable MMC, puis accédez au dossier Autorités de certification racines de confiance.

    2. Cliquez avec le bouton droit sur Autorité de certification racines de confiance, pointez sur Toutes les tâches, puis cliquez sur Importer.

    3. Recherchez puis sélectionnez le certificat (fichier .cer) que vous avez créé à l’étape 1. Sélectionnez les valeurs par défaut pour terminer la partie restante de l’Assistant.

    4. Utilisez l’utilitaire réseau du client SQL Server.

    5. Sélectionnez l’option Forcer le chiffrement du protocole. Votre client est désormais prêt pour utiliser le chiffrement SSL.

Comment tester votre connexion cliente

Pour tester votre connexion cliente, vous pouvez :

  • Utiliser SQL Management Studio.

    - ou -

  • Utilisez une application ODBC ou OLEDB dans laquelle vous pouvez modifier la cha&icirc;ne de connexion.

SQL Server Management Studio


Pour effectuer un test à l'aide de SQL Server Management Studio, procédez comme suit :

  1. Accédez à la page Configuration de SQL Server Client<version> dans le Gestionnaire de configuration SQL Server.

  2. Dans la fenêtre des propriétés, définissez l'option Forcer le chiffrement du protocole sur « Oui ».

  3. Connectez-vous au serveur qui exécute SQL Server en utilisant SQL Server Management Studio.

  4. Surveillez la communication à l'aide du Moniteur réseau Microsoft ou d'un renifleur réseau.


Exemples de cha&icirc;nes de connexion d’application ODBC ou OLEDB

Si vous utilisez des cha&icirc;nes de connexion ODBC ou OLEDB d'un fournisseur tel que SQL Native Client, ajoutez le mot clé Encrypt et affectez-lui la valeur true dans votre cha&icirc;ne de connexion, puis surveillez la communication à l'aide d'un outil tel que le Moniteur réseau Microsoft ou un renifleur réseau.

Résolution des problèmes

Une fois installé, le certificat ne s’affiche pas dans la liste Certificat de l’onglet Certificat.

Remarque L’onglet Certificat figure dans la bo&icirc;te de dialogue Propriétés de Protocoles pour <nom_instance> ouverte depuis le Gestionnaire de configuration SQL Server.

Ce problème se produit car vous avez peut-être installé un certificat non valide. Si le certificat n’est pas valide, il ne s’affiche pas dans l’onglet Certificat. Pour déterminer si le certificat installé est valide, procédez comme suit :

  1. Ouvrez le composant logiciel enfichable Certificats. Pour cela, reportez-vous à l’étape 1 de la section « Comment configurer le composant logiciel enfichable MMC ».

  2. Dans le composant logiciel enfichable Certificats, développez Personnel, puis Certificats.

  3. Dans le volet droit, localisez le certificat que vous avez installé.

  4. Déterminez si le certificat remplit les conditions suivantes :

    • Dans le volet droit, la valeur de la colonne Rôle prévu pour ce certificat doit être Authentification du serveur.

    • Dans le volet droit, la valeur de la colonne Émis à doit correspondre au nom du serveur.

  5. Double-cliquez sur le certificat, puis déterminez si le certificat remplit les conditions suivantes :

    • Sous l’onglet Général, le message suivant s’affiche :

      Vous avez une clé privée qui correspond à ce certificat.

    • Sous l’onglet Détails, la valeur du champ Objet doit correspondre au nom du serveur.

    • La valeur du champ Utilisation avancée de la clé doit être Authentification du serveur (<numéro>).

    • Sous l’onglet Chemin d’accès de certification, le nom du serveur doit s’afficher sous Chemin d’accès de certification.

Si l’une de ces conditions n’est pas remplie, le certificat n’est pas valide.

Informations supplémentaires

Si vous rencontrez une erreur 17182, consultez l’article suivant pour obtenir des informations détaillées et la procédure de résolution :

Échec du démarrage de SQL Server avec l’erreur 17182 « Échec de l’initialisation TDSSNIClient avec l’erreur 0xd, code d’état 0x38 » lorsque le serveur est configuré pour utiliser SSL


Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions pour vos commentaires.

×