How to configure certficate for MSSQL Standalone Servercn.docx
- 文档编号:14633732
- 上传时间:2023-06-25
- 格式:DOCX
- 页数:11
- 大小:219.66KB
How to configure certficate for MSSQL Standalone Servercn.docx
《How to configure certficate for MSSQL Standalone Servercn.docx》由会员分享,可在线阅读,更多相关《How to configure certficate for MSSQL Standalone Servercn.docx(11页珍藏版)》请在冰点文库上搜索。
HowtoconfigurecertficateforMSSQLStandaloneServercn
如何为MSSQL2005配置电子证书
(单机)
14October2018
Version1.0
版权说明
包含于此篇文档中的信息属于商业或财务机密(或授权)信息。
文档为安领科技(深圳)有限公司所专有,除非被安领科技(深圳)授权,否则此文档的全部或者部分信息不得用于再版或者引用。
版本历史
日期
版本
描述
December23,2010
1.0
初始版本
May18,2011
1.1
增加4.5小节,描述SQLServer以NetworkService用户组启动时的证书配置方法
内容
概览5
1.制作一个自签证书6
2.使用MMC导出证书8
3.将证书导入SecureSphere9
4.强制SQL2005使用新建的自签证书10
5.回滚12
概览
在SecureSphere做MSSQLServer2005的DAM时,如果没有密钥,SecureSphere发现加密的用户名就不能进行解密,显示为Hashedusers。
在默认情况下,SQL2005采用内部自签证书来加密用户名,这个证书是不可以导出的,而且每当SQL服务重启时,这个内部自签证书都会改变。
目标:
强制SQL2005加载一个用户定制的“自签证书”,并将此证书导入SecureSphere,从而让SecureSphere可以用私钥来解密用户名。
需要完成以下工作:
I. 制作一个自签证书
II. 使用MMC导出证书
III.将证书导入SecureSphere
IV.强制SQL2005使用新建的自签证书
★★★:
MSSQL2005服务器的证书导入的误操作有可能导致服务不能启动,且本手册仅源自单一测试环境,并不保证在任何环境中均能适用。
请在对生产环境进行操作前,在非生产环境进行测试,以确保不会导致生产环境服务中断!
1.制作一个自签证书
1.1 需要安装IIS服务器。
1.2 从微软网站下站并安装IIS资源工具包,其中包括SelfSSLVersion1.0工具。
1.3 点击Start->Programs->IISResources->SelfSSL->SelfSSL
1.4在DOS窗口中执行:
selfssl.exe/N:
CN=<(FQDN)>/K:
1024/V:
7000/S:
1/P:
443
这里的CN必需是系统的FQDN名称。
如何查看系统的FQDN名称:
右键点击Start->Explore->右键点击"MyComputer"->Properties->ComputerName->"FullComputerName"就是系统的FQDN名称
例子:
selfssl.exe/N:
CN=/K:
1024/V:
7000/S:
1/P:
443
注意:
尽量把证书有效设置得更长一些,以免证书过期。
在这个例子中证书有效期为7000天。
由于SelfSSL工具只能配合IIS使用,可以在任何一台安装有IIS的服务器上制作自签证书。
然后将这些自签证书导入其他服务器、系统即可。
2.使用MMC导出证书
2.1. 确认证书已经安装在证书存储空间内:
Start-> Run-> Type"mmc"-> File-> Add/RemoveSnap-in->Add->Certificates->Add->选择ComputerAccount->再选择LocalComputer(ifasked)->点击Close->点击OK
然后你应该可以在如下图中的窗口看到在上一步中新建的自签证书。
2.2.在上图中的证书上按右键(注意:
证书名称必须与目标服务器的FQDN保持完全一致)。
2.3 在证书上按右键选择 ->AllTasks->Export->点击Next->选择"Yes,exporttheprivatekey"(注意:
这里非常重要,一定要选择导出私钥,要不然SecureSphere是无法解开加密的用户名)->不选择EnableStrongProtectionandcheckIncludeallcertificatesinthecertificationpathifpossible->点击Next->设定一个password(注:
以后导入证书时使用)->点击Next->保存至一个文件(选择.pfx格式)
3.将证书导入SecureSphere
3.1 Browser-> SecureSphere GUI-> Site->ServerGroup->MSSQLService->Definitions->EncryptionSupport->AddNewSSLKeyName->
->SelectPFXFormat->选择证书(.pfx)并输入password(在导出证书设置的password)->点击Add->Close->Save(一定要记得保存喔!
)
4.强制SQL2005使用新建的自签证书
4.1拷贝在第二步中导出的自签证书到目标服务器
4.2 导入.pfx格式的自签证书
a.确认MSSQL服务的Owner。
b.Start->Run-> services.msc
c.选择SQL2005Server服务
d.在服务属性中查看 "LogonAs" 项目的值。
这就是SQL服务的Owner帐户。
e.一般有三种Owner类型:
"Windowsmachineordomainaccount"
"ServiceAccount"
"LocalSystemAccount”.
f. 用owner帐户登录,Start-> Run->输入mmc-> File-> Add/RemoveSnap-in->Add->Certificates->Add->Choose
如下图:
图中三个选项与前面提到的服务Owner的对应关系如下:
"MyUseraccount”对应SQL2005服务owner帐户类型为 "Windowsmachineordomainaccount"
"ServiceAccount”对应SQL2005服务owner帐户类型为 "ServiceAccount"
"ComputerAccount”对应SQL2005服务owner帐户类型为 "LocalSystemAccount"
大多数情况下,应该选择"ComputerAccount”。
g.输入password(在导出证书设置的password)->选中"Marktheprivatekeyasexportable"->Next
h.选择"Placeallcertificateinthefollowingstore"
i.点击Next完成。
4.3Start->Programs->MicrosoftSQLServer2005->ConfigurationTools->SQLServerConfigurationManager->SQLServer2005NetworkConfiguration->鼠标右键点击ProtocolsforMSSQLSERVER->点击Certificate->在证书列表中选择正确的证书->ClickOK
4.4重启MSSQL实例。
如果MSSQL实例重启失败,请重做4.2.f步骤,选择正确的选项(注意,必须是服务Owner帐户类型正确匹配)。
4.5如果在service中查看到SQLSERVER的Logonas配置如下图所示:
证书的配置需要按照如下步骤来完成:
4.5.1 用administrator帐户登录,Start-> Run->输入mmc-> File-> Add/RemoveSnap-in->Add->Certificates->Add->Choose
如下图:
选择"ComputerAccount”。
输入password(在导出证书设置的password)->选中"Marktheprivatekeyasexportable"->Next
选择"Placeallcertificateinthefollowingstore"
点击Next完成。
4.5.2对证书文件进行访问授权
在windows2003下,证书路径为:
C:
\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\Crypto\RSA\MachineKeys
在windows2008/windows7下,证书路径为:
C:
\ProgramData\Microsoft\Crypto\RSA\MachineKeys
(C:
盘符需要替换为实际系统安装盘符)
在此路径下找到生成时间与4.5.1中导入证书时间一致的一个文件,如下图:
在此文件上按右键,在属性中为networkservice用户组分配访问权限:
4.5.3Start->Programs->MicrosoftSQLServer2005->ConfigurationTools->SQLServerConfigurationManager->SQLServer2005NetworkConfiguration->鼠标右键点击ProtocolsforMSSQLSERVER->点击Certificate->在证书列表中选择正确的证书->ClickOK
4.5.4重启MSSQL实例。
5.回滚
如果你相恢复让SQL2005使用内部自签证书,请按照下列步骤进行:
a.先在SQL配置管理器中去掉证书
b.应用,停止,重启SQL服务
c.然后进入MMC并从相应证书存储空间中删除证书
d.如果不按照上述步骤来做,极有可能导致SQL服务启动失败
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- How to configure certficate for MSSQL Standalone Servercn
链接地址:https://www.bingdoc.com/p-14633732.html