Làm thế nào để kích hoạt tính năng mã hóa SSL cho SQL Server 2000, nếu bạn có một máy chủ chứng chỉ hợp lệ

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:276553
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này từng bước danh sách các bước bạn phải sử dụng để bật Secure Socket Layer (SSL) mã hóa cho Microsoft SQL Server 2000, nếu bạn có một chứng chỉ hợp lệ Máy chủ trong môi trường mạng của bạn. Nếu bạn đã mua giấy chứng nhận từ một Đại lý của giấy chứng nhận của bên thứ ba, hãy làm theo các hướng dẫn được cung cấp bởi nhà cung cấp. SQL Server 2000 cho phép các kết nối được mã hóa trên tất cả các thư viện mạng bởi bằng cách sử dụng giấy chứng nhận và mật mã hoá SSL. Bạn có thể bật SQL Máy chủ mã hóa bằng cách sử dụng SuperSocket Net-Library, Ssnetlib.dll hoặc Dbnetlib.dll

Nếu bạn sử dụng SSL Encryption trên một cụm máy chủ SQL, bạn có thể sử dụng cùng một thủ tục ngoại trừ việc chứng chỉ phải được cấp cho các tên miền hoàn toàn đủ điều kiện của ảo SQL Server và không phải là các cá nhân tên máy tính. Ngoài ra, cách Microsoft khuyến cáo rằng bạn sử dụng Giấy chứng nhận và SSL mã hóa trên một cụm máy chủ SQL là:
  1. Cài đặt các giấy chứng nhận trên mỗi nút trong cụm sao.
  2. Cài đặt tin cậy người chủ quyền trên mỗi khách hàng.
  3. Cho phép các Lực lượng giao thức mật mã lựa chọn từ các máy tính khách hàng bằng cách sử dụng các mạng lưới khách hàng Tiện ích.
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
319349LỖI: Bật tùy chọn "Lực lượng giao thức mã hóa" là không thể thay đổi nếu có là không có chứng chỉ
Mật mã hóa giao tiếp giữa một khách hàng máy tính và máy chủ, trước tiên bạn phải quyết định nếu bạn muốn các mã hóa được cho mỗi hệ phục vụ hoặc trên một cơ sở cho mỗi khách hàng. Hãy nhớ là một SQL hiện tại Máy chủ hạn chế nếu bạn kích hoạt tính năng mã hóa trên máy chủ. Mật mã sẽ cho tất cả các kết nối đến. Nếu bạn kích hoạt tính năng mã hóa trên máy khách, tất cả kết nối gửi đi từ khách hàng đó cố gắng để làm cho một kết nối được mã hóa để bất kỳ máy chủ SQL.

Ngoài ra, khi bạn kích hoạt tính năng lực giao thức mã hóa từ máy chủ, nó mã hóa các tin đăng nhập và dữ liệu. Tuy nhiên, nó không đòi hỏi khách hàng tin tưởng thẩm quyền gốc tương tự. Nếu bạn thích khách hàng tin tưởng cùng một người chủ quyền, bạn phải sử dụng khách hàng mạng hữu ích hoặc tùy chọn kết nối chuỗi để buộc giao thức mã hóa trên máy khách. Điều này là do thiết kế.

SQL Server nào không phải bắt đầu nếu chứng chỉ hợp thức hoặc nếu các dịch vụ tài khoản đó được sử dụng để bắt đầu dịch vụ MSSQLServer không thể xác định vị trí giấy chứng nhận. Vì vậy, Microsoft khuyến cáo rằng bạn yêu cầu giấy chứng nhận trong khi bạn đang đăng nhập vào bằng cách sử dụng cùng một tài khoản người dùng mà bạn dùng để bắt đầu dịch vụ MSSQLServer.

Nếu Microsoft Internet Information Services (IIS) được cài đặt trên máy tính đang chạy SQL Server, bạn có thể cũng dùng thuật sĩ IIS bộ dịch vụ trên các Thư mục Bảo mật tab. Giấy chứng nhận phải là một chứng chỉ được phát hành cho tên miền hoàn toàn đủ tiêu chuẩn (FQDN) của máy chủ. Bạn không thể sử dụng địa chỉ IP cho các giấy chứng nhận tên. Một máy tính khách hàng phải yêu cầu kết nối tới hệ phục vụ bởi FQDN hoặc NetBIOS tên hệ phục vụ. Bạn có thể không kết nối tới hệ phục vụ bằng cách sử dụng địa chỉ IP của máy tính đang chạy SQL Server.

Nếu máy tính có nhiều chứng chỉ được cài đặt trong các cửa hàng người dùng hoặc trong các cửa hàng máy tính, bạn có thể phải chỉ định chứng chỉ nên được sử dụng cho SQL Server.

Tạo một giá trị chứng chỉ của loại REG_BINARY trong khóa registry sau đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Click vào giá trị chứng chỉ, và sau đó nhập giá trị bất động sản Candy của chứng chỉ trong cột dữ liệu.

Ví dụ, registry nên xuất hiện tương tự như sau khi bạn xuất khẩu nó:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Giấy chứng nhận" = hex: 2e, 67, 3e, 84, 4a, 4f, e0, 7f, 08, 42, 6a, 7a, 35, 9b, 01, 94, 76, 67, 0b
Nếu này khóa sổ đăng ký được đặt thành 0 trên máy tính, máy tính bỏ qua các chứng chỉ trên máy tính. Các máy tính đang chạy SQL Server sẽ bắt đầu nhưng không đọc chứng chỉ trên máy tính. Nếu bạn muốn sử dụng mã hóa và máy tính chỉ có một chứng chỉ, bạn không cần này khóa sổ đăng ký.

Cách duy nhất để xác minh rằng bạn có thành công đã thực hiện một kết nối được mã hóa là để nắm bắt giao thông giữa hai máy tính bằng cách sử dụng mạng Microsoft Màn hình hoặc một công cụ mạng Sniffer. Để biết thêm thông tin về làm thế nào để thiết lập Microsoft Network Monitor, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
243270Làm thế nào để cài đặt màn hình mạng trong Windows 2000

Yêu cầu và cài đặt một giấy chứng nhận bằng cách sử dụng một máy chủ chứng chỉ

  1. Làm cho một kết nối HTTP đến máy chủ chứng chỉ trong khi bạn đang đăng nhập vào bằng cách sử dụng cùng một tài khoản mà bạn đã sử dụng để bắt đầu dịch vụ MSSQLServer. Ví dụ, bạn có thể làm cho kết nối sau đây:

    Chú ý
    Microsoft khuyến cáo rằng bạn bắt đầu dịch vụ MSSQLServer bằng cách sử dụng trương mục người dùng vùng hoặc một tài khoản người dùng cục bộ có đặc quyền tối thiểu và không có trương mục hệ thống cục bộ.
  2. Chọn Yêu cầu một chứng chỉ, và sau đó nhấp vào Tiếp theo.
  3. Trong các Chọn loại yêu cầu: Trang, nhấn vào đây để chọn Nâng cao yêu cầu, và sau đó nhấp vào Tiếp theo.
  4. Chọn Gửi một yêu cầu chứng chỉ để CA này bằng cách sử dụng một hình thức, và sau đó nhấp vào Tiếp theo.
  5. Nhập vào tên miền đầy đủ trình độ máy tính của bạn trong các Tên hộp. Ping máy tính của bạn để có được tên miền hoàn toàn đủ điều kiện tên nếu bạn không chắc chắn những gì nó.
  6. Trong các Mục đích o dan adran, thay đổi lựa chọn để Chứng chỉ máy chủ xác thực bằng cách sử dụng hộp thả xuống danh sách từ xác thực máy khách Giấy chứng nhận. Đối với một doanh nghiệp giấy chứng nhận cơ quan bạn sẽ chọn một bản mẫu để thay thế.
  7. Bấm vào các Kho chứng chỉ tùy chọn trong kho chứng chỉ máy tính cục bộ.
  8. Để lại tất cả các mặt hàng khác như mặc định. Nhấp vào Gửi.
  9. Trang cuối cùng trình bày bạn với một Chứng chỉ để cài đặt siêu liên kết. Nhấp vào Cài đặt chứng chỉ này.
Để xác minh rằng cài đặt giấy chứng nhận của bạn là đúng, sử dụng hoặc là chứng chỉ MMC-theo xác minh chứng chỉ hoặc sử dụng công cụ CertUtil.exe đã được cài đặt trên máy chủ chứng chỉ vào danh sách các chứng chỉ. Để tải chứng chỉ MMC snap-in, hãy làm theo các bước sau:
  1. Để mở giao diện MMC, điều khiển, bấm Bắt đầu,và sau đó nhấp vào Chạy.
  2. Trong các Chạy hộp thoại, loại MMC, và sau đó nhấp vào Ok.
  3. Trên các Giao diện điều khiển trình đơn, nhấp vào Thêm/loại bỏ-theo.
  4. Nhấp vào Thêm, và sau đó nhấp vào Chứng chỉ.
  5. Nhấp vào Thêm.

    Bạn sẽ được nhắc để mở-theo cho hiện tại trương mục người dùng, cho tài khoản dịch vụ, hoặc cho các tài khoản máy tính.
  6. Nhấp vào Trương mục máy tính.
  7. Nhấp vào Máy tính cục bộ, và sau đó nhấp vào Kết thúc
  8. Nhấp vào Đóng.
  9. Nhấp vào Ok.

    Chứng chỉ được cài đặt của bạn được đặt tại các Thư mục chứng chỉ trong các Cá nhân container.
Bấm đúp vào chứng chỉ, và sau đó hãy chắc chắn rằng tất cả các sau đây là đúng:
  • Một khóa riêng tương ứng với chứng chỉ này.
  • Giấy chứng nhận tên chủ đề là tương đương với FQDN máy tính.
  • Mục đích của chứng chỉ là cho máy chủ xác thực.
  • Đường dẫn chứng chỉ có một chuỗi hợp lệ để thẩm quyền gốc.

Kích hoạt tính năng mã hóa SSL trên máy chủ SQL

Sau khi chứng chỉ được cài đặt trên máy chủ, bạn có thể kích hoạt SSL mã hóa bằng cách làm theo các bước sau:
  1. Sử dụng SQL Server mạng Utility và nhấp vào để chọn các Lực lượng giao thức mật mã hộp kiểm.
  2. Dừng lại, và sau đó khởi động lại dịch vụ MSSQLServer cho các Mặc định trường hợp hoặc tên là trường hợp.
  3. Sử dụng Nhật ký lỗi SQL Server để xác minh rằng SQL Server đã làm không báo cáo bất kỳ lỗi nào khi nó bắt đầu.

Kích hoạt tính năng mã hóa SSL cho một khách hàng cụ thể

Nếu bạn không muốn để kích hoạt tính năng mã hóa SSL trên toàn cầu và các máy chủ, bạn có thể cho phép mật mã hoá SSL từ khách hàng cụ thể. Không cho phép SSL mật mã hóa trên máy chủ và khách hàng, sử dụng một hay khác. Nếu bạn bật Mã hóa SSL trên một cơ sở cho mỗi khách hàng, máy tính khách hàng phải tin tưởng máy chủ giấy chứng nhận. Chứng chỉ đã phải tồn tại trên máy chủ. Khách hàng máy tính không cần giấy chứng nhận, nhưng nó phải có máy chủ giấy chứng nhận như là một tin cậy gốc Authority giấy chứng nhận. Làm theo các bước sau để Kích hoạt tính năng mã hóa SSL trên một cơ sở cho mỗi khách hàng:
  1. Hãy chắc chắn rằng bạn vô hiệu hoá hoặc xóa các Lực lượng giao thức mật mã tùy chọn trong máy chủ mạng hữu ích.
  2. Kết nối bài kiểm tra từ một máy tính khách hàng bằng cách sử dụng các Mạng lưới giám sát hoặc một công cụ mạng Sniffer để xác minh rằng giao tiếp giữa một máy khách và máy chủ máy tính không được mã hóa.
  3. Nhấp chuột phải vào biểu tượng Internet Explorer nằm trên bàn làm việc trên máy tính đang chạy SQL Server.
  4. Nhấp chuột phải Thuộc tính.
  5. Bấm vào các Nội dung tab.
  6. Nhấp vào Chứng chỉ.
  7. Nhấp vào Đáng tin cậy nhà chức trách chứng chỉ gốc.
  8. Nhấn vào đây để chọn Chứng nhận Authority.
  9. Nhấp vào Xuất khẩu, và sau đó nhấp vào Tiếp theo.
  10. Trong các Định dạng tập tin xuất khẩu hộp thoại hộp, bấm vào Mật mã thư cú pháp tiêu chuẩn - PKCS # 7 giấy chứng nhận (.P7B).
  11. Nhấn vào đây để chọn các Bao gồm tất cả các giấy chứng nhận trong đường dẫn chứng nhận nếu có thể hộp kiểm.
  12. Chọn một tập tin tên cho chứng chỉ đã xuất chuyển. Đảm bảo vị trí tập tin là ở đâu đó rằng máy tính khách hàng sau đó có thể truy cập chuyển nhập nó.
  13. Nhấp vào Tiếp theo, và sau đó nhấp vào Kết thúc.
  14. Trên máy khách, trình duyệt Internet của bạn, chọn Nhấp chuột phải Thuộc tính, điểm đến Nội dung, và sau đó nhấp vào Chứng chỉ.
  15. Bấm vào các Đáng tin cậy nhà chức trách chứng chỉ gốc tab.
  16. Nhấp vào Nhập khẩu, bấm Tiếp theo, bấm Trình duyệt, và sau đó nhấp vào Thay đổi tệp loại để: PKCS # 7 Certificates(*.p7b).
  17. Chọn chứng chỉ bạn chỉ xuất khẩu từ SQL Server, và sau đó nhấp vào Mở. Nhấp vào Tiếp theo.
  18. Nhấn vào đây để chọn các Tự động chọn kho chứng chỉ dựa vào loại giấy chứng nhận hộp kiểm.
  19. Nhấp vào để thêm sau đây chứng chỉ vào kho gốc.
  20. Nhấp vào Tiếp theo, và sau đó nhấp vào Kết thúc.
  21. Một hộp thoại sẽ mở ra với các văn bản:
    Chuyển nhập đã thành công.
  22. Kiểm chứng rằng giấy chứng nhận xuất hiện dưới gốc tin cậy Nhà chức trách chứng chỉ, và rằng Mục đích dự định chỉ ra Tất cả.
  23. Nhấp vào Xem để xác minh rằng không có lỗi đã được báo cáo với các giấy chứng nhận.
  24. Bấm vào các Đường dẫn chứng nhận tab, và sau đó kiểm tra tình trạng giấy chứng nhận để xem nếu nó được thiết lập đểOk.
  25. Mở các khách hàng mạng hữu ích, và sau đó bấm vào để chọn các Lực lượng giao thức mật mã hộp kiểm.

Kiểm tra các mã hóa từ một khách hàng

Để kiểm tra mật mã từ một khách hàng, sử dụng một trong những phương pháp sau đây:
  • Sử dụng công cụ phân tích truy vấn.
  • Sử dụng bất kỳ ứng dụng ODBC nơi bạn có thể thay đổi các kết nối chuỗi.

Truy vấn Analyzer

Để thử nghiệm với các công cụ phân tích truy vấn SQL, làm theo các bước sau:
  1. Sử dụng tiện ích SQL Server khách hàng mạng.
  2. Nhấn vào đây để chọn các Lực lượng giao thức mật mã hộp kiểm.
  3. Kết nối đến máy chủ đang chạy SQL Server 2000 bởi bằng cách sử dụng phân tích truy vấn.
  4. Theo dõi các giao tiếp bằng cách sử dụng mạng Microsoft Màn hình hoặc một Sniffer mạng.

ODBC ứng dụng

Để thử nghiệm với một ứng dụng ODBC, hãy làm theo các bước sau:
  1. Sửa đổi chuỗi kết nối ODBC hoặc OLEDB:

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES						
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Kết nối với máy tính đang chạy SQL Server 2000 và theo dõi các giao tiếp bằng cách sử dụng Microsoft Network Monitor hoặc mạng Sniffer.
THAM KHẢO
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
316898Làm thế nào để kích hoạt tính năng mã hóa SSL cho một thể hiện của SQL Server bằng cách sử dụng Microsoft Management Console
Lỗi bảo mật SSL SECDoClientHandshake 265

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 276553 - Xem lại Lần cuối: 12/05/2015 22:20:35 - Bản sửa đổi: 3.0

Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 2000 64-bit Edition

  • kbnosurvey kbarchive kbhowtomaster kbmt KB276553 KbMtvi
Phản hồi
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)