如何使用 Microsoft 管理主控台來啟用 SSL 加密,SQL Server 執行個體

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:316898
結論
本文將逐步告訴您,如何使用 Microsoft 管理主控台 (MMC) 執行 Microsoft SQL Server,並說明如何在伺服器上,或為特定的用戶端啟用 SSL 加密的電腦上安裝憑證。

注意您無法使用這個方法將 SQL Server 叢集伺服器上的憑證。對於叢集的執行個體,請參閱方法下"啟用憑證的 SSL 在叢集的 SQL Server 安裝,"稍後本文中所述。

如果您的公司已企業憑證授權單位,您可以要求憑證是 SQL Server 的獨立伺服器,請然後再使用 [安全通訊端層 (SSL) 加密的 [憑證。

您可以啟用伺服器上或用戶端中的 [強制通訊協定加密] 選項。

注意不要啟用用戶端和伺服器上的 [強制通訊協定加密] 選項。若要啟用 [強制通訊協定加密在伺服器上,使用伺服器網路公用程式 」 或 「 SQL Server 組態管理員] 中,視 SQL Server 的版本而定。若要啟用 [強制通訊協定加密用戶端上,使用用戶端網路公用程式 」 或 「 SQL Server 組態管理員。

重要如果您使用的用戶端網路公用程式 」 (適用於 SQL Server 2000年用戶端) 或原生 SQL 的用戶端啟用 SSL 加密 <version></version>設定 (32 位元)] 或 [SQL 原生的用戶端<version></version>設定頁面 SQL Server 組態管理員] 中,所有的連線,從該用戶端將要求 SSL 加密以該用戶端所連接的任何 SQL Server。

如果您是在伺服器上啟用強制通訊協定加密,您必須在伺服器上安裝憑證。

如果您想要啟用用戶端上的 [強制通訊協定加密,您必須在伺服器上的憑證,而且用戶端必須有信任的根授權,而此一更新,以便信任伺服器憑證。

注意如果您使用 SQL Server 啟用 SQL Server 執行個體的加密的連線,您可以設定為 [是]的 [ForceEncryption ] 選項的值。如需詳細資訊,請參閱 「 啟用加密連線到資料庫引擎 (SQL Server 組態管理員) 」 SQL Server 線上叢書 》 中 ︰


在 Microsoft 管理主控台 (MMC) 與伺服器上安裝憑證

若要使用 SSL 加密,您必須在伺服器上安裝憑證。請依照下列步驟執行,以使用 Microsoft 管理主控台 (MMC) 嵌入式管理單元安裝憑證。

如何設定 MMC 嵌入式管理單元 」
  1. 若要開啟 [憑證] 嵌入式管理單元,請依照下列步驟執行 ︰
    1. 若要開啟的 MMC 主控台中,按一下 [開始],然後按一下 [執行。執行對話方塊方塊中鍵入 ︰

      MMC
    2. 在 [主控台] 功能表中,按一下 [新增/移除嵌入式管理單元-英吋..
    3. 按一下 [新增],然後按一下 [憑證]。再次按一下 [新增]。
    4. 系統會提示您開啟嵌入式管理單元針對目前的使用者帳戶的服務帳戶或電腦帳戶。選取的電腦帳戶
    5. 選取本機電腦],然後按一下 [完成]
    6. 按一下 [關閉[新增獨立嵌入式管理單元] 對話方塊中。
    7. 按一下 [新增/移除嵌入式管理單元] 對話方塊中的[確定] 。您已安裝的憑證位於個人的容器中的 [憑證] 資料夾中。
  2. 在伺服器上安裝憑證,請使用 [MMC 嵌入式管理單元 ︰
    1. 按一下以選取在左邊窗格中的 [個人] 資料夾。
    2. 在右邊窗格上按一下滑鼠右鍵,指向 [所有工作],然後按一下要求新憑證
    3. [憑證要求精靈] 對話方塊隨即開啟。按一下 [下一步]。選取型別是 「 電腦 」 憑證
    4. 好記的名稱] 文字方塊中您可以鍵入憑證好記的名稱或將 [文字] 方塊保留空白,然後完成精靈。在精靈完成後,您會看到完整的電腦的網域名稱的資料夾中的憑證。
    5. 如果您想要針對特定的用戶端或用戶端啟用加密,跳過這個步驟,然後繼續進行 針對特定的用戶端啟用加密 這份文件的區段。

      SQL Server 2000年,若要啟用加密在伺服器,請開啟 「 伺服器網路公用憑證安裝所在的伺服器,然後按一下以選取強制通訊協定加密 ] 核取方塊。重新啟動 (SQL Server) MSSQLServer 服務進行加密,才會生效。您的伺服器現在已準備好使用 SSL 加密的。

      對於SQL Server 2005 及更新版本,若要啟用加密在伺服器上,開啟 [SQL Server 組態管理員],然後執行下列 ︰
      1. 在 [ SQL Server 組態管理員] 中,展開 [ SQL Server 網路設定],以滑鼠右鍵按一下 [通訊協定<server instance=""></server>然後選取屬性
      2. 在 [憑證] 索引標籤中,從 [憑證] 下拉功能表中,選取所需的憑證,然後按一下[確定]
      3. 在 [旗標] 索引標籤中,在 [ ForceEncryption ] 方塊中,選取 [是] ,然後按一下[確定]以關閉對話方塊。
      4. 重新啟動 SQL Server 服務。

啟用 ssl 的憑證,在叢集的 SQL Server 安裝

在下列登錄機碼中指定 SQL Server 用來加密連線的憑證 ︰

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

此機碼包含稱為識別在伺服器中的每個憑證的指模的憑證的屬性。在叢集環境中,這個機碼會設定為 Null 即使有正確的憑證存放區中。若要解決這個問題,您必須採取這些額外的步驟,在每個叢集節點上的每個節點安裝憑證之後) ︰

  1. 瀏覽至儲存 FQDN 憑證的憑證存放區。在憑證的 [內容] 頁面中,移至詳細資料] 索引標籤,並將憑證的指紋值複製到 「 記事本 」 視窗。
  2. 移除指紋值在 「 記事本 」 中的十六進位字元之間的空格。
  3. 啟動 regedit、 瀏覽到下列的登錄機碼,並將值複製步驟 2:
    HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\<instance></instance>\MSSQLServer\SuperSocketNetLib\Certificate
  4. 如果 SQL 虛擬伺服器目前在此節點中,容錯移轉到您的叢集中的另一個節點,然後重新啟動的節點,在其中登錄變更時發生。
  5. 重複此程序,所有節點上。

此程序的螢幕擷取畫面,請參閱下列 MSDN 上張貼的部落格 ︰

針對特定的用戶端啟用加密

用戶端要求 SSL 加密中,用戶端電腦必須信任伺服器憑證,憑證必須已經存在於伺服器。您必須使用 [MMC 嵌入式管理單元 」 匯出信任的根憑證授權單位使用的伺服器憑證 ︰
  1. 若要匯出伺服器憑證的信任根憑證授權單位 (CA),請依照下列步驟執行 ︰
    1. 開啟 MMC,然後再找出您的憑證個人的資料夾中。
    2. 憑證名稱、 並在名稱上按一下滑鼠右鍵,然後按一下 [開啟
    3. 檢閱 [憑證路徑] 索引標籤中,請注意頂端的大部分項目。
    4. 瀏覽至 [信任的根憑證授權] 資料夾中,,,然後找出另有註明的憑證授權單位在步驟 c...
    5. CA上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [匯出
    6. 選取所有的預設值,然後再將匯出的檔案儲存到硬碟,讓用戶端電腦可以存取檔案。
  2. 請依照下列步驟執行,以匯入用戶端電腦上的憑證 ︰
    1. 使用 [MMC 嵌入式管理單元,瀏覽至用戶端電腦,然後瀏覽至 [信任的根憑證授權] 資料夾。
    2. [受信任的根憑證授權單位] 資料夾上按一下滑鼠右鍵,指向 [所有工作],然後按一下 [匯入
    3. 瀏覽],然後選取您在步驟 1 中所產生的憑證 (.cer 檔案)。選取的預設值,以完成精靈的其餘部分。
    4. 使用 SQL Server 用戶端網路公用程式。
    5. 按一下以選取 [強制通訊協定加密] 選項。您的用戶端現在已經準備好使用 SSL 加密的。

如何測試您的用戶端連線

若要測試您的用戶端連線您可以 ︰
  • 使用 SQL Management Studio。

    -或者-
  • 使用任何 ODBC 或 OLEDB 應用程式,您可以在其中變更連接字串。
SQL Server Management Studio


若要測試與 SQL Server Management Studio,請依照下列步驟執行 ︰
  1. 瀏覽至 SQL Server 用戶端<version></version>在 「 SQL Server 組態管理員 」 中的組態頁面。
  2. 在 [屬性] 視窗中,設定 [強制通訊協定加密] 選項為 [是]。
  3. 連線到使用 SQL Server Management Studio 執行 SQL Server 的伺服器。
  4. 使用 Microsoft 網路 Monitoror 網路竊聽程式,以監視通訊。

ODBC 或 OLEDB 應用程式連線字串範例

如果您使用 ODBC 或 OLEDB 從類似 SQL 的原生用戶端提供者的連接字串,將加密關鍵字加入並將它設定為true 表示在您的連接字串,然後監視 [使用 Microsoft 這類的工具的通訊網路監視器或網路 sniffer

疑難排解

您成功安裝憑證之後,憑證並不會顯示在 [憑證] 索引標籤上的 [憑證] 清單。

注意[憑證] 索引標籤位於通訊協定的 <InstanceName></InstanceName> 內容] 對話方塊開啟時從 SQL Server 組態管理員。

您也可能安裝不正確的憑證,就會發生這個問題。如果憑證不正確的它不會列在 [憑證] 索引標籤。如果要判斷您所安裝的憑證是否有效,請依照下列步驟執行 ︰
  1. 開啟 [憑證] 嵌入式管理單元。若要執行這項操作,請參閱步驟 1 中 < 如何設定 [MMC 嵌入式管理單元 」 一節。
  2. 在 [憑證] 嵌入式管理單元,展開 [個人],然後展開 [憑證
  3. 在右窗格中,找出您所安裝的憑證。
  4. 判斷憑證是否符合下列需求 ︰
    • 在右窗格中,這個憑證的使用目的資料行中的值必須是伺服器驗證
    • 在右窗格中,[發行給] 欄中的值必須是伺服器名稱。
  5. 按兩下憑證,然後再判斷憑證是否符合下列需求 ︰
    • 在 [一般] 索引標籤上,您會收到下列訊息 ︰
      您必須對應此憑證的私密金鑰。
    • 詳細資料] 索引標籤上 [主旨] 欄位的值必須是伺服器名稱。
    • [增強金鑰使用方法] 欄位的值必須是伺服器驗證 (<number></number>).
    • 憑證路徑] 索引標籤中,必須出現在 [憑證路徑] 下的伺服器名稱。
如果不符合這些需求的任何一個,此憑證不正確。
其他相關資訊
如果您遇到錯誤 17182,請參閱下列文件 fordetailed 資訊和解析度 ︰


嵌入式管理單元的嵌入式管理單元

警告:本文為自動翻譯

內容

文章識別碼:316898 - 最後檢閱時間:05/11/2016 18:05:00 - 修訂: 2.0

Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 2000 64-bit Edition, Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL Server 2005 Enterprise Edition, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2005 Workgroup Edition, Microsoft SQL Server 2008 Developer, Microsoft SQL Server 2008 Enterprise, Microsoft SQL Server 2008 Express, Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2008 Workgroup, Microsoft SQL Server 2008 R2 Datacenter, Microsoft SQL Server 2008 R2 Developer, Microsoft SQL Server 2008 R2 Enterprise, Microsoft SQL Server 2008 R2 Express, Microsoft SQL Server 2008 R2 Standard, Microsoft SQL Server 2008 R2 Web, Microsoft SQL Server 2008 R2 Workgroup, Microsoft SQL Server 2012 Developer, Microsoft SQL Server 2012 Enterprise, Microsoft SQL Server 2012 Express, Microsoft SQL Server 2012 Standard, Microsoft SQL Server 2012 Web, Microsoft SQL Server 2014 Developer, Microsoft SQL Server 2014 Enterprise, Microsoft SQL Server 2014 Enterprise Core, Microsoft SQL Server 2014 Express, Microsoft SQL Server 2014 Standard, Microsoft SQL Server 2014 Web, Microsoft SQL Server 2016 Developer, Microsoft SQL Server 2016 Enterprise, Microsoft SQL Server 2016 Enterprise Core, Microsoft SQL Server 2016 Standard

  • kbsqlsetup kbhowtomaster kbmt KB316898 KbMtzh
意見反應