Cum să activați criptarea SSL pentru o instanță de SQL Server utilizând Microsoft consolă de gestionare

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 316898
Rezumat
Acest articol etapizat descrie cum se instalează un certificat de pe un computer care execută Microsoft SQL Server utilizând Microsoft consolă de gestionare (MMC) și descrie cum se activează criptarea SSL pe server, sau pentru clienții specifice.

Notă Se poate utiliza această metodă pentru a pune un certificat de pe un server de clustere de SQL Server. Pentru o instanță clustere, consultați metoda descrisă sub "Enable un certificat pentru SSL pe o instalare SQL Server cu clustere," în continuarea acestui articol.

Dacă firma dvs. a implementat o autoritate de certificare de întreprindere, solicitați certificate pentru un server independent de SQL Server și apoi utilizați certificatul de criptare Secure Sockets Layer (SSL).

Aveți posibilitatea să activați opțiunea Force Protocol criptarepe server sau pe client.

Notă Activați opțiunea Force Protocol criptare atât clientul, cât și de pe server. Pentru a activa Force Protocol criptarepe server, utilizați utilitarul Server de rețea sau SQL Server Configuration Manager, în funcţie de versiunea de SQL Server. Pentru a activaForce Protocol criptarepe client, utilizați utilitarul de rețea Client sau SQL Server Configuration Manager.

Important Dacă activați criptarea SSL utilizând utilitarul reţea Client (pentru clienții SQL Server 2000) sau SQL Native Client <version></version>Configurare (32 de biți) sau SQL Native Client<version></version>Paginile de configurare în SQL Server Configuration Manager, toate conexiunile de la acel client va cere criptarea SSL la orice SQL Server la care se conectează clientul respectiv.

Dacă activați Criptarea de Protocol Force pe server, trebuie să instalați un certificat de pe server.

Dacă doriți să activați Criptarea de Protocol Force pe client, trebuie să aveți un certificat de pe server și client trebuie să aibă autoritate rădăcină de încredere actualizat pentru a certificatul de server de încredere.

Notă Dacă utilizați SQL Server pentru a activa conexiunile criptate pentru o instanță de SQL Server, setați valoarea opțiuneaForceEncryption la Da. Pentru mai multe informații, consultați "Enable criptare conexiuni la motorul de baze acoperire de date (SQL Server Configuration Manager)" în SQL Server Books Online:


Instalați un certificat de pe un server cu Microsoft consolă de gestionare (MMC)

Pentru a utiliza criptarea SSL, trebuie să instalați un certificat de pe server. Urmați acești pași pentru a instala certificatul utilizând utilitarul de completare snap-in Microsoft consolă de gestionare (MMC).

Cum se configurează utilitarul de completare Snap-in MMC
  1. Pentru a deschide de completare snap-in certificate, urmați acești pași:
    1. Pentru a deschide consola MMC, faceți clic pe Startși apoi faceți clic pe executare. În caseta executare dialog tastați:

      MMC
    2. În meniul de consolă , faceți clic pe Add/Remove Snap-in....
    3. Faceți clic pe Adăugareși apoi faceți clic pe certificate. Faceți clic pe Adăugare din nou.
    4. Vi se solicită să deschideți utilitarul snap-in pentru contul de utilizator curent, contul de serviciu, sau pentru contul de computer. Selectați contul de Computer.
    5. Selectați computer local, și apoi faceți clic pe Terminare.
    6. Faceți clic pe închidere în casetă de dialog Add Standalone Snap-in .
    7. Faceți clic pe OK în casetă de dialog Add/Remove Snap-in . Certificatele instalate se află în folderul certificate din containerul personale .
  2. Utilizați utilitarul de completare snap-in MMC pentru a instala certificatul pe server:
    1. Faceți clic pentru a selecta foldere personale în panou din partea stângă.
    2. Faceți clic dreapta în panoul din dreapta, indicați spre Toate activitățileși apoi faceți clic pe Solicitare certificat nou....
    3. Se deschide casetă de dialog Expert solicitare certificat . Faceți clic pe Următorul. Selectați certificatul este de tip "computer".
    4. În caseta de text nume prietenos posibilitatea să Tastați un nume prietenos pentru certificat sau lăsați necompletată caseta text, și apoi termina expertul. După ce se termină expertul, veți vedea certificatul în folderul cu nume de domeniu complet computerul.
    5. Dacă doriți să activați criptarea pentru un anumit client sau clienții, Ignorați acest pas și continuați Activați criptarea pentru un anumit client secțiune a acestui articol.

      Pentru SQL Server 2000, pentru a activa criptare pe server, deschideți utilitarul Server de rețea pe server unde este instalat certificatul și apoi faceți clic pentru a selecta Force Protocolul de criptare casetă de selectare. Reporniți serviciul MSSQLServer (SQL Server) pentru criptarea să aibă efect. Serverul este acum gata pentru a utiliza criptarea SSL.

      Pentru SQL Server 2005 și versiunile ulterioare, pentru a activa criptare pe server, deschideți SQL Server Configuration Manager și procedați astfel:
      1. În SQL Server Configuration Manager, extindeți SQL Server Network Configuration, faceți clic dreapta pe protocoale pentru<server instance=""></server>, apoi selectați Proprietăți.
      2. Pe fila certificat, selectați certificatul dorit din meniul verticalcertificat , și apoi faceți clic pe OK.
      3. În fila Flags , selectați Da în caseta ForceEncryption și apoi faceți clic pe OK pentru a închide casetă de dialog.
      4. Reporniți serviciul SQL Server.

Activați un certificat pentru SSL pe o instalare SQL Server de clustere

Certificatul folosit de SQL Server pentru a cripta conexiuni este specificat în următoarea cheie de registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Această cheie conține o proprietate de certificat cunoscută ca amprenta care identifică fiecare certificat de server. Într-un mediu cu clustere, această cheie va fi setat la nul chiar dacă certificatul corect există în magazin. Pentru a rezolva această problemă, trebuie să ia acești pași suplimentari pe fiecare dintre nodurile de cluster după ce ați instalat certificatul pentru fiecare nod):

  1. Navigaţi la depozitul de certificate în cazul în care este stocat certificatul de domeniu complet calificat. Pe pagina de proprietăți pentru certificat, mergeţi la fila detalii şi copiaţi valoarea amprenta certificatului de o cadru fereastră Notepad.
  2. Eliminați spațiile dintre caractere hex în valoarea amprenta în Notepad.
  3. Porniți regedit, navigați la următoarea cheie de registry și copia valoarea din Pasul 2:
    HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\<instance></instance>\MSSQLServer\SuperSocketNetLib\Certificate
  4. Dacă SQL virtual server este în prezent, acest nod, în caz de nereușită la alt nod în clusterul dvs., și apoi reporniți nodul care modifica registry s-a produs.
  5. Repetați această procedură pe toate nodurile.

Pentru capturi de ecran din această procedură, consultaţi următorul blog post pe MSDN:

Activați criptarea pentru un anumit client

Pentru clientul să solicite criptarea SSL, computer client trebuie să aveți încredere certificatul de server și certificatul trebuie să existe deja pe server. Trebuie să utilizați utilitarul de completare snap-in MMC pentru a exporta Trusted Root autoritate de certificare utilizate de certificat de server:
  1. Pentru a exporta certificatul de server Trusted Root Certificate autoritate (CA), urmați acești pași:
    1. Deschide MMC și apoi găsiți certificatul în folderul Personal .
    2. Faceți clic dreapta pe nume de sign-in certificatului și apoi faceți clic pe Deschidere.
    3. Revizuire fila Certification Path Notă elementul cel mai sus.
    4. Navigaţi la folderul Autorități de certificare rădăcină de încredere , și apoi găsiți autoritate de certificare notat în pasul c...
    5. Faceți clic dreapta pe CA, indicați spre Toate activitățileși apoi faceți clic pe Export.
    6. Selectați toate setările implicite, și apoi salvați fișierul exportat disk în cazul în care computer client poate accesa fișierul.
  2. Urmați acești pași pentru a importa certificatul pe computerul client:
    1. Navigaţi la computer client utilizând utilitarul de completare snap-in MMC, și apoi răsfoiți la folderul Autorități de certificare rădăcină de încredere .
    2. Faceți clic dreapta pe folderul Autorități de certificare rădăcină de încredere , indicați spre Toate activitățileși apoi faceți clic pe Import.
    3. Răsfoiți și apoi selectați certificatul (fișier .cer) care este generat în pasul 1. Selectați setările implicite pentru a termina partea rămasă a expertului.
    4. Utilizați utilitarul de rețea Client SQL Server.
    5. Faceți clic pentru a selecta opțiunea Force Protocol criptare . Clientul este gata pentru a utiliza criptarea SSL.

Cum pentru a testa conexiunea la client

Pentru a testa conexiunea la client, puteți fie:
  • Utilizarea SQL Management Studio.

    - sau -
  • Utilizați orice aplicație ODBC sau OLEDB în care aveți posibilitatea să modificați șirul de conexiune.
SQL Server Management Studio


Pentru a testa cu SQL Server Management Studio, urmați acești pași:
  1. Navigaţi la SQL Server client<version></version>Pagina de configurare în SQL Server Configuration Manager.
  2. În proprietăți windows, setați opțiunea de criptare de protocol Force"Da."
  3. Conectarea la server care execută SQL Server utilizând SQL Server Management Studio.
  4. Monitorizarea comunicare utilizând Microsoft Network Monitoror un detector de rețea.

ODBC sau OLEDB aplicații eșantion iruri conectare

Dacă utilizați ODBC sau OLEDB șiruri de conexiune la un furnizor de SQL Native Client, adăugați cuvântul cheie decriptare setat la true în șirul de conexiune și apoi monitorizează comunicare folosind un instrument ca MicrosoftMonitor reţeasau un detector de rețea

Depanare

După ce instalați cu succes certificatul, certificat nu apare în listă de Certificate pe fila certificat .

Notă Pe fila certificat este în protocoalele pentru<b00> </b00> <InstanceName></InstanceName> casetă de dialog Proprietăți care este deschis de la SQL Server Configuration Manager.

Această problemă apare deoarece este posibil să aveți instalat un certificat nevalid. Dacă certificatul nu este validă, nu va fi listat în fila certificat . Pentru a determina dacă certificatul pe care ați instalat este validă, urmați acești pași:
  1. Deschideți rutină de gestionare certificate. Pentru aceasta, vedeți Pasul 1 din secțiunea "Cum se configurează utilitarul de completare Snap-in MMC".
  2. În rutină de gestionare certificate, extindeți personaleși apoi extindeți certificate.
  3. În panoul din dreapta, găsiți certificatul pe care ați instalat.
  4. Determinați dacă certificatul îndeplinește următoarele cerințe:
    • În panoul din dreapta, valoarea din coloana Destinat scop pentru acest certificat trebuie să fie Server Authentication.
    • În panoul din dreapta, valoarea din coloana a emis pentru trebuie să fie nume de sign-in serverului.
  5. Faceți dublu clic pe certificatul și apoi să determine dacă certificatul îndeplinește următoarele cerințe:
    • În fila General , primiți următorul mesaj:
      Aveți o cheie privată care corespunde cu acest certificat.
    • În fila detalii , valoarea pentru câmpul subiect trebuie să fie nume de sign-in serverului.
    • Valoarea pentru câmpul Utilizare cheie avansată trebuie să fie Server Authentication (<number></number>).
    • În fila Certification Path , nume de sign-in serverului trebuie să apară sub Certification path.
Dacă nu este îndeplinită una dintre aceste cerințe, certificatul este nevalid.
Informaţii suplimentare
Dacă întâmpinați o eroare 17182, consultați următorul articol fordetailed informații și rezoluție:


utilitar snap în

Avertisment: acest articol a fost tradus automat

Propriedades

ID do Artigo: 316898 - Última Revisão: 05/11/2016 17:34:00 - Revisão: 2.0

Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 2000 64-bit Edition, Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL Server 2005 Enterprise Edition, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2005 Workgroup Edition, Microsoft SQL Server 2008 Developer, Microsoft SQL Server 2008 Enterprise, Microsoft SQL Server 2008 Express, Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2008 Workgroup, Microsoft SQL Server 2008 R2 Datacenter, Microsoft SQL Server 2008 R2 Developer, Microsoft SQL Server 2008 R2 Enterprise, Microsoft SQL Server 2008 R2 Express, Microsoft SQL Server 2008 R2 Standard, Microsoft SQL Server 2008 R2 Web, Microsoft SQL Server 2008 R2 Workgroup, Microsoft SQL Server 2012 Developer, Microsoft SQL Server 2012 Enterprise, Microsoft SQL Server 2012 Express, Microsoft SQL Server 2012 Standard, Microsoft SQL Server 2012 Web, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise Core, Microsoft SQL Server 2014 Express, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Web, Microsoft SQL Server 2016 Developer, Microsoft SQL Server 2016 Enterprise, Microsoft SQL Server 2016 Enterprise Core, Microsoft SQL Server 2016 Standard

  • kbsqlsetup kbhowtomaster kbmt KB316898 KbMtro
Comentários