Jak włączyć szyfrowanie SSL dla wystąpienia programu SQL Server za pomocą programu Microsoft Management Console

Streszczenie

W tym artykule opisano, jak zainstalować certyfikat na komputerze, na którym jest uruchomiony program Microsoft SQL Server przy użyciu konsoli Microsoft Management Console (MMC) i zawiera opis sposobu włączania szyfrowania SSL na serwerze lub dla określonych klientów.

Uwaga Ta metoda nie umożliwia umieszczanie certyfikatu na klastrowanego serwera SQL Server. Dla klastrowanego wystąpienia Zobacz metoda opisana w obszarze "Włącz certyfikatu SSL w instalacji klastrowanego serwera SQL" w dalszej części tego artykułu.

Jeśli firmie zaimplementowano urząd certyfikatów przedsiębiorstwa, żądania certyfikatów dla autonomicznego serwera SQL Server, a następnie użyć certyfikatu do szyfrowania Secure Sockets Layer (SSL).

Można włączyć opcję Siły szyfrowania protokołu na serwerze lub na komputerze klienckim.

Uwaga Aby włączyć Siły szyfrowania protokołu na serwerze, użyj Narzędzie sieciowe serwera lub Menedżer konfiguracji serwera SQL, w zależności od wersji programu SQL Server. Aby włączyć Siły szyfrowania protokołu na kliencie, użyj Narzędzie sieciowe klienta lub Menedżer konfiguracji programu SQL Server.

Ważne Po włączeniu szyfrowania SSL przy użyciu Client Network Utility (dla klientów programu SQL Server 2000) lub programu SQL Native Client w wersji < > konfiguracja (32 bity) lub programu SQL Native Client w wersji < > Konfiguracja stron w Konfiguracja programu SQL Server Menedżer, wszystkie połączenia z tego klienta będzie żądał szyfrowania SSL do dowolnego programu SQL Server, z którym łączy się klient.

Jeśli Siły szyfrowania protokołu zostanie włączone na serwerze, należy zainstalować certyfikat na serwerze.

Jeśli chcesz włączyć Siły szyfrowania protokołu na komputerze klienckim musi mieć certyfikat na serwerze i na kliencie musi być zaufany główny urząd certyfikacji zaktualizowane, aby zaufać certyfikatowi serwera.

Uwaga Jeśli używasz programu SQL Server do włączyć zaszyfrowanego połączenia dla instancji programu SQL Server, można ustawić wartość opcji ForceEncryption na wartość Tak. Aby uzyskać więcej informacji zobacz temat "Włącz szyfrowanie połączenia aparatu bazy danych (program SQL Server Menedżer konfiguracji)" w dokumentacji SQL Server Books Online:

http://msdn.microsoft.com/en-us/library/ms191192(v=sql.110).aspx#ConfigureServerConnections

Zainstalować certyfikat na serwerze z konsoli Microsoft Management Console (MMC)

Aby korzystać z szyfrowania SSL, należy zainstalować certyfikat na serwerze. Wykonaj następujące kroki, aby zainstalować certyfikat za pomocą przystawki programu Microsoft Management Console (MMC).

Jak skonfigurować przystawkę programu MMC

  1. Aby otworzyć przystawkę Certyfikaty, wykonaj następujące kroki:

    1. Aby otworzyć konsolę MMC, kliknij przycisk Start, a następnie kliknij polecenie Uruchom. W polu Uruchom okno dialogowe wpisz:

      PROGRAM MMC

    2. W menu konsoli kliknij polecenie Dodaj/Usuń przystawki-w....

    3. Kliknij przycisk Dodaj, a następnie kliknij pozycję Certyfikaty. Ponownie kliknij przycisk Dodaj .

    4. Monit, aby otworzyć przystawkę dla bieżącego konta użytkownika, konta usługi lub konta komputera. Wybierz konto komputera.

    5. Wybierz opcję komputer lokalny, a następnie kliknij przycisk Zakończ.

    6. Kliknij przycisk Zamknij w oknie dialogowym Dodawanie przystawki autonomicznej .

    7. Kliknij przycisk OK w oknie dialogowym Dodaj/Usuń przystawkę . Zainstalowane certyfikaty znajdują się w folderze Certyfikaty w kontenerze osobistych .

  2. Aby zainstalować certyfikat na serwerze, użyj przystawki MMC:

    1. Kliknij, aby zaznaczyć folder osobisty w okienku po lewej stronie.

    2. Kliknij prawym przyciskiem myszy w prawym okienku, wskaż polecenie Wszystkie zadania, a następnie kliknij Żądaj nowego certyfikatu....

    3. Zostanie otwarte okno dialogowe Kreatora żądania certyfikatów . Kliknij przycisk Dalej. Wybierz certyfikat typu jest "komputer".

    4. W polu tekstowym Przyjazna nazwa wpisz przyjazną nazwę dla certyfikatu lub pozostaw puste pole tekstowe, a następnie zakończyć pracę kreatora. Po zakończeniu pracy kreatora, zobaczysz certyfikat w folderze komputer w pełni kwalifikowaną nazwą domeny.

    5. Jeśli chcesz włączyć szyfrowanie dla określonego klienta lub klientów, należy pominąć ten krok i przejść do sekcji włączyć szyfrowanie dla określonego klienta niniejszego artykułu.

      Dla programu SQL Server 2000Aby włączyć szyfrowania na serwerze, Otwórz narzędzie sieciowe serwera na serwerze, gdzie jest zainstalowany certyfikat i kliknij, aby zaznaczyć pole wyboru siły szyfrowania protokołu . Uruchom ponownie usługi MSSQLServer (SQL Server) do szyfrowania zaczęły obowiązywać. Twój serwer jest teraz gotowy do użycia szyfrowania SSL.

      Dla programu SQL Server 2005 i nowszych wersjachAby włączyć szyfrowanie na serwerze, Otwórz Menedżer konfiguracji programu SQL Server i wykonaj następujące czynności:

      1. W programie Menedżer konfiguracji programu SQL Serverrozwiń węzeł Konfiguracja sieciowa programu SQL Server, kliknij prawym przyciskiem myszy protokołów dla < wystąpienie serwera >i wybierz polecenie Właściwości.

      2. Na karcie certyfikat z menu rozwijanego certyfikatu wybierz żądany certyfikat, a następnie kliknij przycisk OK.

      3. Na karcie flagi wybierz opcję Tak w polu ForceEncryption , a następnie kliknij przycisk OK , aby zamknąć okno dialogowe.

      4. Uruchom ponownie usługę SQL Server.

Włączyć certyfikat protokołu SSL dla instalacji klastrowanego serwera SQL

Certyfikat używany przez program SQL Server do szyfrowania połączeń jest określony w następującym kluczu rejestru:

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Ten klucz zawiera właściwości certyfikatu, znany jako odcisk palca , który identyfikuje każdego certyfikatu na serwerze. W środowisku klastrowym ten klucz będzie ustawić wartość null, nawet jeśli istnieje prawidłowy certyfikat w magazynie. Aby rozwiązać ten problem, należy wykonać następujące dodatkowe kroki na każdym z węzłów klastra po zainstalowaniu certyfikatu na każdym węźle):

  1. Przejdź do magazynu certyfikatów, którym jest przechowywany certyfikat nazwy FQDN. Na stronie właściwości certyfikatu przejdź do karty Szczegóły i skopiować wartości odcisku palca certyfikatu do okna Notatnika.

  2. Usuń wszystkie spacje między znaki szesnastkowe wartości odcisku palca w Notatniku.

  3. Uruchom polecenie regedit, przejdź do następującego klucza rejestru i skopiowanie wartości z kroku 2:

    \MSSQLServer\SuperSocketNetLib\Certificate< wystąpienie >HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\

  4. Jeśli serwer wirtualny programu SQL jest obecnie na ten węzeł pracy awaryjnej do innego węzła w klastrze i ponownego rozruchu węzła, gdy zmiana rejestru wystąpił.

  5. Powtórz tę procedurę na wszystkich węzłach.


Zrzuty ekranu tej procedury zobacz następujące blogu w witrynie MSDN:

http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enabling-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx

Włącz szyfrowanie dla określonego klienta

Dla klienta zażądać szyfrowanie SSL komputer kliencki musi ufać certyfikatowi serwera i certyfikat musi już istnieć na serwerze. Trzeba użyć przystawki programu MMC do eksportowania zaufanego głównego urzędu certyfikacji używany przez certyfikat serwera:

  1. Aby wyeksportować certyfikat serwera zaufanego głównego certyfikatu urzędu certyfikacji, wykonaj następujące kroki:

    1. Otwórz konsolę MMC, a następnie zlokalizuj swój certyfikat w folderze osobistym .

    2. Kliknij prawym przyciskiem myszy nazwę certyfikatu, a następnie kliknij przycisk Otwórz.

    3. Przegląd kartę Ścieżka certyfikacji należy zauważyć większość towaru z początku listy.

    4. Przejdź do folderu Zaufane główne urzędy certyfikacji , a następnie zlokalizuj urząd certyfikacji zauważyć w kroku c...

    5. Kliknij prawym przyciskiem myszy urząd certyfikacji, wskaż polecenie Wszystkie zadania, a następnie kliknij Eksportuj.

    6. Zaznacz wszystkie ustawienia domyślne, a następnie Zapisz eksportowany plik na dysku, gdy komputer kliencki może uzyskać dostępu do pliku.

  2. Wykonaj poniższe czynności, aby zaimportować certyfikat na komputerze klienckim:

    1. Przejdź do komputera klienckiego przy użyciu przystawki programu MMC, a następnie przejdź do folderu Zaufane główne urzędy certyfikacji .

    2. Kliknij prawym przyciskiem myszy folder Zaufane główne urzędy certyfikacji , wskaż polecenie Wszystkie zadania, a następnie kliknij Importuj.

    3. Przeglądaj, a następnie wybierz certyfikat (plik .cer), który zostanie wygenerowany w kroku 1. Wybierz ustawienia domyślne, aby wykonać pozostałą część kreatora.

    4. Użyj narzędzie sieciowe klienta serwera SQL.

    5. Kliknij, aby zaznaczyć opcję szyfrowania protokołu w życie . Klient jest gotowy do szyfrowania SSL.

Jak przetestować połączenie klienta

Aby przetestować połączenie klienta można:

  • Użyj programu SQL Management Studio.

    - lub -

  • Użyj dowolnej aplikacji ODBC lub OLE DB, w którym można zmienić ciąg połączenia.

SQL Server Management Studio


Aby przetestować program SQL Server Management Studio, wykonaj następujące kroki:

  1. Przejdź do strony konfiguracji < wersji > SQL Server Client w Menedżer konfiguracji programu SQL Server.

  2. W oknach właściwości ustaw opcję siły szyfrowania protokołu na "Tak".

  3. Podłącz do serwera, na którym działa program SQL Server przy użyciu programu SQL Server Management Studio.

  4. Monitorowania komunikacji za pomocą Microsoft monitora sieci lub penetratora sieciowego.


Ciągi połączeń próbki aplikacji ODBC lub OLE DB

Jeśli używają ciągów połączenia ODBC lub OLE DB z dostawcą usług takich jak programu SQL Native Client, Dodaj słowo kluczowe Szyfruj i ustawić ją na true w ciągu połączenia, a następnie komunikacji przy użyciu narzędzia monitor jak Monitor sieci firmy Microsoft lub penetrator sieciowy

Rozwiązywanie problemów

Po zainstalowaniu certyfikatu, certyfikat nie ma na liście certyfikatów na karcie certyfikat .

Uwaga W oknie dialogowym protokołów dla właściwości < nazwa_wystąpienia > , który jest otwierany z Menedżer konfiguracji programu SQL Server jest karta certyfikat .

Ten problem występuje, ponieważ zainstalowano nieprawidłowy certyfikat. Jeśli certyfikat jest nieważny, nie zostaną wymienione na karcie certyfikat . Aby ustalić, czy certyfikat, który został zainstalowany, wykonaj następujące kroki:

  1. Otwórz przystawkę Certyfikaty. Aby to zrobić, zobacz krok 1 w sekcji "Jak skonfigurować przystawkę MMC".

  2. W przystawce Certyfikaty rozwiń osobistych, a następnie rozwiń Certyfikaty.

  3. W prawym okienku zlokalizuj certyfikatu, który został zainstalowany.

  4. Określić, czy certyfikat spełnia następujące wymagania:

    • W prawym okienku wartość w kolumnie Zamierzony cel dla tego certyfikatu musi być Uwierzytelnianie serwera.

    • W prawym okienku wartość w kolumnie Wystawiony musi być nazwą serwera.

  5. Kliknij dwukrotnie żądany certyfikat, a następnie określić, czy certyfikat spełnia następujące wymagania:

    • Na karcie Ogólne wyświetlany następujący komunikat:

      Masz klucz prywatny, który odpowiada temu certyfikatowi.

    • Na karcie Szczegóły wartość dla pola temat musi być nazwą serwera.

    • Wartość w polu Ulepszone użycie klucza musi być Uwierzytelnianie serwera (< liczba >).

    • Nazwa serwera musi widnieć na karcie Ścieżka certyfikacji w ścieżce certyfikacji.

Jeśli dowolny z tych wymagań nie jest spełnione, certyfikat jest nieprawidłowy.

Więcej informacji

Jeśli wystąpi błąd 17182, zobacz następujący artykuł szczegółowe informacje i rozdzielczość:

SQL Server nie powiedzie się z powodu błędu 17182 "TDSSNIClient Zainicjowanie nie powiodło się z powodu błędu 0xd, kod stanu 0x38" Kiedy serwer jest skonfigurowany do używania protokołu SSL


Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×