DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 276553 - Geändert am: Dienstag, 4. April 2006 - Version: 10.4

 

Auf dieser Seite

Zusammenfassung

Dieser Artikel listet die Schritte, die Sie verwenden müssen, um SSL (Secure Sockets Layer) Verschlüsselung für Microsoft SQL Server 2000 zu aktivieren, wenn Sie einen gültigen Certificate Server in Ihrer Netzwerkumgebung haben. Wenn Sie Zertifikate von einem Fremdanbieter-Zertifikats-Hersteller erworben haben, folgen Sie den Anweisungen vom Hersteller bereitgestellt wird. SQL Server 2000 ermöglicht die verschlüsselte Verbindungen über alle Netzwerkbibliotheken mithilfe von Zertifikaten und SSL-Verschlüsselung. Sie können die SQL Server Verschlüsselung aktivieren, mithilfe der SuperSocket-Netzwerkbibliothek, Ssnetlib.dll oder Dbnetlib.dll

Wenn Sie SSL-Verschlüsselung auf einem SQL Server-Cluster verwenden, können Sie die gleichen Prozeduren, außer dass das Zertifikat für den vollqualifizierten Domänennamen der virtuellen SQL Server und nicht die einzelnen Computername ausgestellt werden muss. Darüber hinaus empfiehlt wie Microsoft mithilfe von Zertifikate und SSL-Verschlüsselung auf einem SQL Server-Cluster ist:
  1. Installieren Sie die Zertifikate auf jedem Knoten im Cluster.
  2. Installieren Sie der vertrauenswürdigen Stammzertifizierungsstelle auf jedem Client.
  3. Aktivieren Sie die Option Force Protocol Encryption von Clientcomputern mithilfe der Server-Dienstprogramm.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
319349  (http://support.microsoft.com/kb/319349/ ) Fehler: Aktivieren der Option "Force Protocol Encryption" ist nicht umkehrbar ist kein Zertifikat
Zum Verschlüsseln von Kommunikation zwischen einem Clientcomputer und einem Server müssen Sie zunächst entscheiden, sollten die Verschlüsselung pro Server oder auf einer Basis pro Client sein. Beachten Sie, dass eine aktuelle SQL ist Server-Einschränkung, wenn Sie die Verschlüsselung auf dem Server aktivieren. Verschlüsselung werden für alle eingehenden Verbindungen. Wenn Sie Verschlüsselung auf dem Clientcomputer zu aktivieren, versuchen alle ausgehende Verbindungen von diesem Client eine verschlüsselte Verbindung auf eine beliebige SQL Server herzustellen.

Wenn Sie die Force Protocol Encryption auf dem Server aktivieren, verschlüsselt es darüber hinaus die Benutzernamen und Daten. Es ist jedoch den Client die gleichen Stammzertifizierungsstelle vertrauen nicht erforderlich. Wenn Sie den Client die gleichen Stammzertifizierungsstelle vertrauen möchten, müssen Sie Clientkonfiguration oder die Verbindung Zeichenfolge Option Protokoll erzwingen Verschlüsselung auf dem Client. Dieses Verhalten ist beabsichtigt.

SQL Server startet nicht, wenn das Zertifikat ungültig ist oder wenn das Dienstkonto, das zum Starten des MSSQLServer-Dienstes verwendet wurde das Zertifikat nicht finden kann. Microsoft empfiehlt daher, dass das Zertifikat, anfordern während Sie angemeldet sind, mit demselben Benutzerkonto, die Sie, verwendet um den MSSQLServer-Dienst zu starten.

Wenn Internetinformationsdienste (IIS) auf dem Computer installiert ist, auf dem SQL Server ausgeführt wird, können Sie auch den Assistenten für den IIS-Dienst-Manager auf der Directory Security Registerkarte. Das Zertifikat muss ein Serverzertifikat sein, die für den vollständig qualifizierten Domänennamen (FQDN) des Servers ausgestellt wurde. Sie können nicht die IP-Adresse für den Zertifikatnamen verwenden. Ein Clientcomputer muss die Verbindung zum Server durch den FQDN oder NetBIOS-Namen des Servers anfordern. Sie können keine Verbindung herstellen mit dem Server mit der IP-Adresse des Computers, der SQL Server ausgeführt wird.

Wenn der Computer mehrere Zertifikate im Benutzerspeicher oder im Speicher Computers installiert ist, müssen Sie angeben, welches Zertifikat für SQL Server verwendet werden sollte.

Erstellen Sie einen Zertifikat Wert vom Typ REG_BINARY in den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Klicken Sie auf der Zertifikat-Wert, und geben Sie den Fingerabdruck-Eigenschaft-Wert des Zertifikats in der Datenspalte.

Z. B. sollte die Registrierung angezeigt, die der folgenden ähnelt, wenn Sie exportieren:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
Wenn dieser Registrierungsschlüssel auf dem Computer auf 0 festgelegt ist, ignoriert der Computer die Zertifikate auf dem Computer. Dem Computer mit SQL Server wird gestartet jedoch nicht das Zertifikat auf dem Computer gelesen. Wenn Sie Verschlüsselung verwenden möchten, und der Computer nur ein Zertifikat verfügt, müssen Sie diesen Registrierungsschlüssel nicht.

Die einzige Möglichkeit um sicherzustellen, dass Sie eine verschlüsselte Verbindung erfolgreich vorgenommen haben, besteht zum Erfassen des Datenverkehrs zwischen zwei Computern mithilfe von Microsoft Netzwerkmonitor oder ein Netzwerk Dekomprimierungsprogramm-Tool. Weitere Informationen zu Setup Microsoft Netzwerkmonitor finden Sie im folgenden Artikel der Microsoft Knowledge Base:
243270  (http://support.microsoft.com/kb/243270/ ) Zum Installieren von Netzwerkmonitor in Windows 2000

Fordern Sie an und installieren Sie ein Zertifikat mithilfe von Certificate server

  1. Stellen Sie eine HTTP-Verbindung mit dem Zertifikatserver, während Sie angemeldet sind, mit das gleiche Konto, das Sie zum Starten der MSSQLServer-Dienst verwendet. Beispielsweise können Sie folgende Verbindung vornehmen:
    http://mycertserver/certsrv (http://mycertserver/certsrv)
    Hinweis: Microsoft empfiehlt, dass Sie den MSSQLServer-Dienst mithilfe von einem Domänenbenutzerkonto oder ein lokales Benutzerkonto, das minimale Berechtigungen verfügt und nicht dem lokalen Systemkonto starten.
  2. Wählen Sie ein Zertifikat anfordern , und klicken Sie dann auf Weiter .
  3. In der Anforderungstyp wählen: Seite, klicken Sie auf Erweiterte Anforderung auf und klicken Sie dann auf Weiter .
  4. Wählen Sie Senden Sie eine Zertifikatsanforderung an diese ZERTIFIZIERUNGSSTELLE mithilfe eines Formulars , und klicken Sie dann auf Weiter .
  5. Geben Sie den vollqualifizierten Domänennamen des Computers im Feld Name . Den Computer den vollständig qualifizierten Domänennamen abrufen, wenn Sie nicht sicher sind, was Ping.
  6. Im Beabsichtigter Zweck Abschnitt, ändern die Auswahl um Serverauthentifizierung Zertifikat mithilfe der Dropdown - Listenfeld aus der Clientauthentifizierung Zertifikate. Für eine Zertifizierungsstelle würden Sie stattdessen einen Vorlage auswählen.
  7. Klicken Sie auf die Option Zertifikat im Zertifikatspeicher lokalen Computers.
  8. Belassen Sie alle anderen Elemente als die Standardeinstellung. Klicken Sie auf Senden .
  9. Die letzte Seite bietet einen Hyperlink zu installierende Zertifikat . Klicken Sie auf Dieses Zertifikat installieren .
Überprüfen, ob die Zertifikatinstallation korrekt ist, verwenden Sie entweder die MMC Zertifikat Snap-in die Zertifikate überprüfen oder verwenden Sie das CertUtil.exe-Tool, das auf dem Zertifikatsserver zum Auflisten der Zertifikate installiert ist. Gehen Sie folgendermaßen vor um das Snap-In für MMC-Zertifikat zu laden:
  1. Um die MMC-Konsole zu öffnen, klicken Sie auf Start , und klicken Sie dann auf Ausführen .
  2. Geben Sie im Dialogfeld Ausführen Mmc , und klicken Sie dann auf OK .
  3. Klicken Sie im Konsole auf Snap-In hinzufügen/entfernen .
  4. Klicken Sie auf Hinzufügen , und klicken Sie dann auf Zertifikate .
  5. Klicken Sie auf Hinzufügen .

    Sie werden aufgefordert, das Snap-In für das aktuelle Benutzerkonto, für das Dienstkonto oder für das Computerkonto zu öffnen.
  6. Klicken Sie auf Computerkonto .
  7. Klicken Sie auf Lokaler Computer , und klicken Sie dann auf Fertig stellen
  8. Klicken Sie auf Schließen .
  9. Klicken Sie auf OK .

    Die installierten Zertifikate befinden sich in den Ordner Zertifikate im persönlichen Container.
Doppelklicken Sie auf das Zertifikat, und anschließend stellen Sie sicher, dass alle folgenden erfüllt sind:
  • Dieses Zertifikat entspricht ein privater Schlüssel.
  • Das Zertifikat Antragstellername ist gleich dem vollqualifizierten Domänennamen des Computers.
  • Der beabsichtigte Zweck das Zertifikat ist für die Serverauthentifizierung.
  • Der Pfad des Zertifikats hat eine gültige Zertifikatkette zu der Stammzertifizierungsstelle.

Aktivieren Sie die SSL-Verschlüsselung auf dem SQL Server

Nachdem das Zertifikat auf dem Server installiert ist, können Sie SSL-Verschlüsselung aktivieren, indem Sie die folgenden Schritte:
  1. Mithilfe der SQL Server-Netzwerkkonfiguration, und aktivieren das Kontrollkästchen Protokollverschlüsselung aktivieren.
  2. Beenden, und starten Sie den MSSQLServer-Dienst für die Standard-Instanz oder benannte Instanz neu.
  3. Verwenden Sie die SQL Server-Fehlerprotokoll um zu überprüfen, dass SQL Server keine Fehler, beim Starten gemeldet hat.

Aktivieren Sie SSL-Verschlüsselung für einen bestimmten client

Wenn Sie SSL-Verschlüsselung Global auf dem Server aktivieren möchten, können Sie SSL-Verschlüsselung von bestimmten Clients aktivieren. Aktivieren Sie SSL nicht verwenden Sie Verschlüsselung auf Server und Client, eine oder die andere. Wenn Sie SSL-Verschlüsselung auf Basis pro Client aktivieren, muss der Clientcomputer das Serverzertifikat vertrauen. Das Zertifikat muss bereits auf dem Server vorhanden sein. Der Clientcomputer ein Zertifikat nicht erforderlich muss, aber er als vertrauenswürdige Stammzertifizierungsstelle des Serverzertifikats. Gehen Sie zum Aktivieren der SSL-Verschlüsselung in einer Basis pro Client folgendermaßen vor:
  1. Stellen Sie sicher, dass deaktivieren oder deaktivieren Sie die Protokollverschlüsselung Option in der SQL Server-Netzwerkkonfiguration.
  2. Herstellen einer Verbindung Test von einem Clientcomputer mit den Netzwerkmonitor oder ein Netzwerk Dekomprimierungsprogramm Tool überprüfen, dass die Kommunikation zwischen einem Client und Server-Computer nicht verschlüsselt ist.
  3. Mit der rechten Maustaste auf das Internet Explorer Symbol klicken, das auf dem Desktop auf dem Computer befindet, auf dem SQL Server ausgeführt wird.
  4. Klicken Sie mit der rechten Maustaste auf Eigenschaften .
  5. Klicken Sie auf die Registerkarte Inhalt .
  6. Klicken Sie auf Zertifikate .
  7. Klicken Sie auf Vertrauenswürdige Stammzertifizierungsstellen .
  8. Klicken Sie auf Zertifizierungsstelle .
  9. Klicken Sie auf Exportieren , und klicken Sie dann auf Weiter .
  10. Klicken Sie im Dialogfeld Exportdateiformat auf Cryptographic Message Syntax Standard - PKCS # 7-Zertifikate (P7B) .
  11. Klicken Sie auf das Kontrollkästchen alle Zertifikate im Zertifizierungspfad Wenn möglich .
  12. Wählen Sie einen Dateinamen für das exportierte Zertifikat. Stellen Sie sicher, dass der Speicherort der Datei irgendwo, auf die der Clientcomputer später zugreifen können ist, um es zu importieren.
  13. Klicken Sie auf Weiter , und klicken Sie dann auf Fertig stellen .
  14. Wählen Sie auf dem Clientcomputer Ihren Internetbrowser, klicken Sie mit der rechten Maustaste auf Eigenschaften , zeigen Sie auf Inhalt und klicken Sie dann auf Zertifikate .
  15. Klicken Sie auf die Registerkarte Vertrauenswürdige Stammzertifizierungsstellen .
  16. Klicken Sie auf Importieren , klicken Sie auf Weiter , klicken Sie auf Durchsuchen, und klicken Sie dann auf Ändern Dateien des Typs: PKCS # 7-Certificates(*.p7b) .
  17. Wählen Sie das Zertifikat, das Sie gerade von SQL Server exportiert, und klicken Sie dann auf Öffnen . Klicken Sie auf Weiter .
  18. Klicken Sie auf das Kontrollkästchen den Grundlage des Typs von Zertifikat Zertifikatspeicher automatisch auswählen .
  19. Klicken Sie auf Ja , um das folgende Zertifikat dem Stammspeicher hinzugefügt.
  20. Klicken Sie auf Weiter , und klicken Sie dann auf Fertig stellen .
  21. Ein Dialogfeld mit dem Text wird geöffnet:
    der Import war erfolgreich .
  22. Stellen Sie sicher, dass das Zertifikat unter Vertrauenswürdige Stamm angezeigt wird CAs und, Beabsichtigte alle gibt.
  23. Klicken Sie auf Ansicht , um sicherzustellen, dass keine Fehler mit dem Zertifikat gemeldet wurden.
  24. Klicken Sie auf die Registerkarte Zertifizierungspfad , und überprüfen Sie den Zertifikats-Status, ob Sie auf OK festgelegt ist.
  25. Öffnen Sie die SQL Server-Clientkonfiguration, und aktivieren Sie dann das Kontrollkästchen Protokollverschlüsselung .

Testen Sie die Verschlüsselung von einem client

Verwenden Sie eine der folgenden Methoden, um die Verschlüsselung von einem Client zu testen:
  • Verwenden Sie das Tool Query Analyzer.
  • Verwenden Sie ODBC-Anwendung in dem Sie die Verbindungszeichenfolge ändern.

Query Analyzer

Gehen Sie folgendermaßen vor um mit dem Tool SQL Query Analyzer zu testen:
  1. Verwenden Sie die SQLServer-Clientkonfigurationsprogramm.
  2. Klicken Sie auf das Kontrollkästchen Protokollverschlüsselung .
  3. Verbindung zum Server, auf dem SQL Server 2000 mithilfe von Query Analyzer ausgeführt wird.
  4. Überwachen Sie die Kommunikation mithilfe von Microsoft Network Monitor oder ein Netzwerk-Dekomprimierungsprogramm.

ODBC-Anwendung

Gehen Sie folgendermaßen vor, um mit einer ODBC-Anwendung zu testen,
  1. Ändern Sie die ODBC- oder OLEDB-Verbindungszeichenfolge:

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Verbinden mit dem Computer, auf dem SQL Server 2000 ausgeführt wird, und überwachen die Kommunikation mithilfe von Microsoft Netzwerkmonitor oder ein Netzwerk-Dekomprimierungsprogramm.

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
316898  (http://support.microsoft.com/kb/316898/ ) Zum Aktivieren Sie SSL-Verschlüsselung für eine Instanz von SQL Server mithilfe von MMC

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-Bit Edition
Keywords: 
kbmt kbhowtomaster KB276553 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 276553  (http://support.microsoft.com/kb/276553/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: