您目前已離線,請等候您的網際網路重新連線

SQL Server 如何使用憑證,當您開啟 [強制通訊協定加密] 選項時

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:318605
結論
本文將告訴您,如何 SQL Server 使用、 找出,和 強制通訊協定加密] 選項處於開啟狀態時在用戶端上,或若要啟用網路程式庫加密伺服器上驗證憑證。

附註概念與本文中套用至 SQL Server 2000 的討論區也適用於 SQL Server 2005。不過,在 SQL Server 2005 中使用 ForceEncryption 選項來代替 [強制通訊協定加密] 選項。您可以設定 ForceEncryption 選項的值為 [是] 以啟用 SQL Server 執行個體的加密連線。如需詳細資訊請參閱"HOW TO: 啟用加密連線到資料庫引擎 (SQL Server 組態管理員) 」 中 SQL Server 2005 線上叢書 》 的主題。
其他相關資訊

SQL Server 如何使用憑證

SQL Server 2000 支援 [強制通訊協定加密] 選項,以控制網路程式庫加密。當 強制通訊協定加密 開啟時 SQL Server 會使用安全通訊端階層 (SSL) 來加密用戶端與 SQL Server 之間的所有通訊。憑證是必要的因為 SSL 加密只能搭配的 SQL Server 2000 具有憑證,從公用憑證授權單位指派一部電腦執行的執行個體。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
276553如何啟用 SQL Server 2000 與認證伺服器的 SSL 加密
如需有關如何開啟 SQL Server 2000 的 SSL 加密的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
316898如何啟用 SSL 加密 SQL Server 2000 與 Microsoft 管理主控台
如果 [強制通訊協定加密] 選項已開啟用戶端上使用 SQL Server 用戶端網路公用程式,只針對 SQL Server 該用戶端的通訊都會加密。如果該用戶端嘗試連線到另一部執行 SQL Server 的電腦,在用戶端會嘗試加密通訊。如果 [強制通訊協定加密] 選項已開啟在用戶端,該用戶端已不再回溯相容。因此,用戶端無法連線到 Microsoft SQL Server 6.5 或 Microsoft SQL Server 7.0。如果執行 SQL Server 的用戶端嘗試連線的電腦沒有安裝憑證,用戶端會收到這個錯誤訊息:

在 SQL Server 上不支援的加密
所以如果用戶端要求加密,憑證必須安裝在執行 SQL Server 的電腦上。執行 SQL Server 的電腦上安裝憑證之後必須重新啟動 [若要使用憑證的 [SQL Server]。如果安裝憑證之後不要重新啟動 SQL Server,開啟加密的用戶端將無法連線,並會出現相同的錯誤訊息:

在 SQL Server 上不支援的加密
如果 [強制通訊協定加密] 選項已開啟伺服器上使用 「 伺服器網路公用程式 」,所有用戶端與 SQL Server 之間的通訊都會加密。因此,如果執行 SQL Server 的電腦上未安裝憑證,或 SQL Server 無法驗證憑證,SQL Server 無法啟動。SQL Server 錯誤記錄檔會有這個文字:

找不到 2001年-08-23 15:12:09.48 伺服器加密要求,但沒有有效憑證。SQL Server 正在終止。
2001-08-23 15:12:09.62 伺服器錯誤: 17826,高的嚴重性等級: 18 狀態: 1
2001-08-23 15:12:09.62 伺服器無法設定網路程式庫 'SSNETLIB'
2001-08-23 15:12:09.67 伺服器錯誤: 17059,嚴重性: 18,狀態: 0
2001-08-23 15:12:09.67 伺服器作業系統錯誤-1073723998:
2001-08-23 15:12:09.67 伺服器無法載入任何 netlibs。
2001-08-23 15:12:09.74 伺服器 SQL Server 無法產生 FRunCM 執行緒。

SQL Server 如何找出憑證

SQL Server 2000 黃金發行,SQL Server 會查看憑證存放區找不到具有相同的名稱為 [完全合格網域名稱系統 (FQDN) SQL Server 的電腦名稱的憑證。如果您將 SQL Server 部署與容錯移轉叢集時,您必須安裝伺服器憑證與容錯移轉叢集中所有節點上虛擬伺服器的 FQDN。

開始 Microsoft SQL Server 2000 Service Pack 1 SQL Server 會尋找的在這個登錄機碼中命名的 憑證 的二進位值:
HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
如果您使用的 SQL Server 2005,您可以找到 憑證 登錄項目,在下列登錄子機碼下:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib


附註MSSQL.x 是對應的值,SQL Server 執行個體的預留位置。

如果憑證值已遺失或設定為一個零長度字串,SQL Server 會查看憑證存放區找不到具有相同的名稱作為 FQDN,SQL Server 的電腦名稱的憑證。如果設定登錄值,是 SQL Server 會嘗試使用該憑證。

SQL Server 如何驗證憑證是否有效

  • 憑證的 增強金鑰使用方法 」 屬性有針對伺服器驗證會開啟。若要確認憑證用於伺服器驗證,使用 Microsoft 管理主控台 (MMC) 憑證嵌入式管理單元英吋按兩下憑證的名稱,然後選取 [詳細資料。按一下 [增強金鑰使用方法] 屬性,並接著確認 [值是:
        Server Authentication(1.3.6.1.5.5.7.3.1). 
  • 請確定憑證名稱是相同為 SQL Server FQDN 或 (如稍早所述),在登錄中設定值。
  • 您 SQL Server 啟動帳戶身份登入時,您必須安裝憑證到 [憑證-目前使用者 \Personal] 資料夾。這將確定憑證將放在 SQL Server 啟動帳戶的 [個人憑證] 資料夾。如果您已經以不同於 SQL Server 啟動帳戶的使用者帳戶的身分登入,置於 Certificates\Local 電腦個人憑證] 資料夾中憑證。此動作後有錯誤的使用者帳戶儲存憑證的問題解決了。

    若要欲在 目前的使用者] 資料夾,請依照下列步驟執行:
    1. 以 SQL Server 啟動帳戶登入]。
    2. 使用 MMC 憑證嵌入式管理單元來確認憑證的位置。
憑證加密

警告:本文為自動翻譯

內容

文章識別碼:318605 - 最後檢閱時間:01/02/2006 06:56:47 - 修訂: 7.3

Microsoft SQL Server 2000 Standard Edition, Microsoft SQL Server 2005 Standard Edition, Microsoft SQL Server 2005 Developer Edition, Microsoft SQL Server 2005 Enterprise Edition, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2005 Workgroup Edition

  • kbmt kbinfo KB318605 KbMtzh
意見反應