DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 316898 - Geändert am: Dienstag, 11. Juni 2013 - Version: 9.0

 

Auf dieser Seite

Zusammenfassung

Dieser schrittweise aufgebaute Artikel beschreibt, wie Installieren eines Zertifikats auf einem Computer mit Microsoft SQL Server mithilfe von Microsoft Management Console (MMC), der beschreibt, wie Sie SSL-Verschlüsselung auf dem Server oder für bestimmte Clients zu aktivieren.

Hinweis Diese Methode können Sie um ein Zertifikat auf einem geclusterten SQL Server-Server zu setzen. Eine gruppierte Instanz finden Sie unter die Methode unter weiter unten in diesem Artikel beschriebenen "ein Zertifikat für SSL auf einer gruppierten SQL Server-Installation aktivieren".

Wenn Ihr Unternehmen eine Zertifizierungsstelle implementiert hat, können Sie anfordern von Zertifikaten für einen eigenständigen Server SQL Server, und klicken Sie dann das Zertifikat zur Verschlüsselung (SSL = Secure Sockets Layer) verwenden.

Sie können die Option Protokollverschlüsselung erzwingen , auf dem Server oder auf dem Client aktivieren.

Hinweis Aktivieren Sie die Option Force Protocol Encryption auf dem Client und dem Server nicht. Um Protokollverschlüsselung erzwingen auf dem Server zu aktivieren, verwenden Sie die SQL Server-Netzwerkkonfiguration oder SQL Server-Konfigurationsmanager, abhängig von der Version von SQL Server. Um Protokollverschlüsselung erzwingen auf dem Client zu aktivieren, verwenden Sie die Server-Clientkonfiguration oder SQL Server-Konfigurations-Manager.

Wichtig:  Wenn Sie SSL-Verschlüsselung mithilfe des Server-Clientkonfiguration (für SQL Server 2000-Clients) oder SQL Native Client aktivieren <version></version>Konfiguration (32 Bit) oder SQL Native Client<version></version>Konfigurationsseiten in SQL Server-Konfigurations-Manager, alle Verbindungen von diesem Client SSL-Verschlüsselung, um alle SQL Server fordert, dass Clientverbindung.

Wenn Sie Force Protocol Encryption auf dem Server aktivieren, müssen Sie ein Zertifikat auf dem Server installieren.

Wenn Sie Force Protocol Encryption auf dem Client aktivieren möchten, müssen Sie ein Zertifikat auf dem Server und der Client muss die vertrauenswürdige Stammzertifizierungsstelle aktualisiert, um das Serverzertifikat vertrauen haben.

Hinweis Wenn Sie SQL Server zur Aktivierung verschlüsselter Verbindungen für eine Instanz von SQL Server verwenden, können Sie den Wert der ForceEncryption -Option auf Jafestlegen. Weitere Informationen finden Sie unter "Verschlüsselung aktivieren von Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)" in der Onlinedokumentation zu SQL Server:

http://msdn.Microsoft.com/en-us/library/ms191192 (v=sql.110) aspx #ConfigureServerConnections (http://msdn.microsoft.com/en-us/library/ms191192(v=sql.110).aspx#ConfigureServerConnections)

Installieren Sie ein Zertifikat auf einem Server mit Microsoft Management Console (MMC)

Um SSL-Verschlüsselung zu verwenden, müssen Sie ein Zertifikat auf dem Server installieren. Gehen folgendermaßen Sie vor, um das Zertifikat mithilfe der Microsoft Management Console (MMC)-Snap-in installieren.

Gewusst wie: Konfigurieren Sie das MMC-Snap-in
  1. Gehen Sie folgendermaßen vor, um das Zertifikate-Snap-in zu öffnen:
    1. Um die MMC-Konsole zu öffnen, klicken Sie auf Start, und klicken Sie dann auf Ausführen. Das Ausführen Geben Sie im Dialogfeld:

      MMC
    2. Klicken Sie im Menü Konsole auf Hinzufügen/Entfernen-Snap-Ins...
    3. Klicken Sie auf Hinzufügen, und klicken Sie dann auf Zertifikate. Klicken Sie erneut auf Hinzufügen .
    4. Sie werden aufgefordert, das Snap-In für das aktuelle Benutzerkonto, das Dienstkonto oder das Computerkonto zu öffnen. Wählen Sie das Computerkonto.
    5. Wählen Sie Lokaler Computer, und klicken Sie dann auf Fertig stellen.
    6. Klicken Sie auf Schließen im Dialogfeld Eigenständiges Snap-In hinzufügen .
    7. Klicken Sie auf OK im Dialogfeld Snap-In hinzufügen/entfernen . Die installierten Zertifikate befinden sich in den Ordner Zertifikate in den Container " persönlich ".
  2. Verwenden Sie das MMC-Snap-in, um das Zertifikat auf dem Server zu installieren:
    1. Klicken Sie auf den persönlichen Ordner im linken Bereich.
    2. Mit der rechten Maustaste im rechten Fensterbereich, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Neues Zertifikat anfordern.
    3. Das Zertifikatsanforderungs-Assistent -Dialogfeld wird geöffnet. Klicken Sie auf Weiter. Wählen Sie Zertifikat "Computer" ist.
    4. Sie können im Textfeld Angezeigter Name Geben Sie einen Anzeigenamen für das Zertifikat oder lassen Sie das Textfeld leer und beenden Sie den Assistenten. Nach Abschluss des Assistenten sehen Sie das Zertifikat in den Ordner mit der vollqualifizierte Domänenname.
    5. Wenn Sie die Verschlüsselung für einen bestimmten Client oder Clients aktivieren möchten, überspringen Sie diesen Schritt und fahren Sie mit der Aktivieren Sie die Verschlüsselung für einen bestimmten client Abschnitt dieses Artikels.

      Öffnen Sie für SQL Server 2000, um die Verschlüsselung auf dem Server zu aktivieren, die SQL Server-Netzwerkkonfiguration auf dem Server, auf dem das Zertifikat installiert ist, und klicken Sie dann auf auswählen die Protokollverschlüsselung erzwingen das Kontrollkästchen. Starten Sie den Dienst MSSQLServer (SQL Server) damit die Verschlüsselung wirksam wird. Ihr Server ist nun bereit, die SSL-Verschlüsselung zu verwenden.

      Für SQL Server 2005 und höheren Versionenum die Verschlüsselung auf dem Server zu aktivieren, öffnen Sie die SQL Server-Konfigurations-Manager, und gehen Sie folgendermaßen vor:
      1. In SQL Server-Konfigurations-Managererweitern Sie SQL Server-Netzwerkkonfigurationder rechten Maustaste auf die Protokolle für<server instance=""></server>, und wählen Sie dann auf Eigenschaften.
      2. Klicken Sie auf der Registerkarte Zertifikat Wählen Sie das gewünschte Zertifikat aus dem Zertifikat Dropdown-Menü, und klicken Sie dann auf OK.
      3. Klicken Sie auf der Registerkarte Flags im ForceEncryptionJa Wählen Sie aus, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.
      4. Starten Sie den SQL Server-Dienst neu.

Aktivieren Sie ein Zertifikat für SSL auf einer gruppierten SQL Server-installation

Das Verschlüsselung für Verbindungen von SQL Server verwendete Zertifikat wird in den folgenden Registrierungsschlüssel angegeben:

HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Dieser Schlüssel enthält eine Eigenschaft des Zertifikats als Fingerabdruck , der jedes Zertifikat in den Server identifiziert. In einer Clusterumgebung wird dieser Schlüssel auf Null festgelegt werden, selbst wenn das richtige Zertifikat im Speicher vorhanden ist. Um dieses Problem zu beheben, sind diese zusätzlichen Schritte auf jedem Clusterknoten nach der Installation des Zertifikats an jeden Knoten):

  1. Navigieren Sie in den Zertifikatspeicher, in dem das FQDN-Zertifikat gespeichert ist. Fahren Sie auf der Eigenschaftenseite für das Zertifikat mit der Registerkarte Details , und kopieren Sie den Fingerabdruckwert des Zertifikats in eine Editor-Fenster.
  2. Entfernen Sie die Leerzeichen zwischen den hex-Zeichen in den Fingerabdruckwert in Editor.
  3. Starten Sie Regedit, navigieren Sie zum folgenden Registrierungsschlüssel, und kopieren Sie den Wert aus Schritt 2:
    HKLM\Software\Microsoft\Microsoft SQL Server\<instance></instance>\MSSQLServer\SuperSocketNetLib\Certificate
  4. Wenn der virtuelle SQL-Server ist zurzeit auf diesem Knoten ein Failover auf einen anderen Knoten im Cluster, und starten Sie den Knoten, in dem ändern die Registrierung, neu aufgetreten.
  5. Wiederholen Sie dieses Verfahren auf allen Knoten.

Screenshots von diesem Verfahren finden Sie im folgenden Blogbeitrag auf MSDN:

http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/Enabling-Certificates-for-SSL-Connection-on-SQL-Server-2005-Clustered-Installation.aspx (http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enabling-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx)

Aktivieren Sie die Verschlüsselung für einen bestimmten client

Für der Client zum Anfordern der SSL-Verschlüsselung der Client-Computer muss das Serverzertifikat vertrauen und das Zertifikat muss bereits auf dem Server vorhanden sein. Sie haben das MMC-Snap-in verwenden, um die vertrauenswürdige Stammzertifizierungsstelle verwendet, indem Sie das Serverzertifikat zu exportieren:
  1. Gehen Sie folgendermaßen vor, um das Serverzertifikat vertrauenswürdige Stammzertifizierungsstelle (CA) zu exportieren:
    1. Öffnen Sie MMC, und suchen Sie das Zertifikat im persönlichen Ordner.
    2. Mit der rechten Maustaste des Zertifikatnamens, und klicken Sie dann auf Öffnen.
    3. Überprüfen Sie die Registerkarte Zertifizierungspfad Beachten Sie die meisten Spitzenartikels.
    4. Navigieren Sie zu dem Ordner Vertrauenswürdige Stammzertifizierungsstellen , und suchen Sie die Zertifizierungsstelle notiert haben in Schritt c..
    5. Mit der rechten Maustaste CA, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.
    6. Wählen Sie alle Standardeinstellungen, und speichern Sie die exportierte Datei auf der Festplatte, in denen der Client-Computer die Datei zugreifen können.
  2. Gehen folgendermaßen Sie vor, um das Zertifikat auf dem Client-Computer zu importieren:
    1. Navigieren Sie zu dem Client-Computer mithilfe der MMC-Snap-in, und wählen Sie den Ordner Vertrauenswürdige Stammzertifizierungsstellen .
    2. Mit der rechten Maustaste des Ordners Vertrauenswürdige Stammzertifizierungsstellen , zeigen Sie auf Alle Tasks, und klicken Sie dann auf Importieren.
    3. Durchsuchen Sie, und wählen Sie dann das Zertifikat (CER-Datei), das Sie in Schritt 1 erstellt. Wählen Sie die Standardeinstellungen auf den verbleibenden Teil des Assistenten abzuschließen.
    4. Verwenden Sie die SQL Server-Clientkonfigurationsprogramm.
    5. Klicken Sie auf die Option Force Protocol Encryption . Der Client ist nun bereit, die SSL-Verschlüsselung verwenden.

Gewusst wie: Testen Sie Ihre Clientverbindung

Um Clientverbindung testen, haben Sie folgende Möglichkeiten:
  • Verwenden Sie SQL Management Studio.

    -oder-
  • Verwenden Sie ODBC- oder OLEDB-Anwendung, in der Sie die Verbindungszeichenfolge ändern können.
SQL Server Management Studio


Gehen Sie folgendermaßen vor, um SQL Server Management Studio zu testen:
  1. Navigieren Sie zu der SQL Server-Client<version></version>In SQL Server-Konfigurations-Manager-Konfigurationsseite.
  2. Legen Sie im Eigenschaftenfenster die Option Protokollverschlüsselung erzwingen "Ja".
  3. Schließen Sie an den Server, der SQL Server ausgeführt wird, mithilfe von SQL Server Management Studio.
  4. Überwachen Sie die Kommunikation mithilfe von Microsoft Netzwerkmonitor oder einem Netzwerksniffer.

ODBC- oder OLEDB-Anwendung Beispiele für Verbindungszeichenfolgen

Wenn Sie ODBC oder OLE DB-Verbindungszeichenfolgen von einem Anbieter wie SQL Native Client verwenden, fügen Sie das Encrypt -Schlüsselwort bei Einstellung auf true in Ihrer Verbindungszeichenfolge und überwachen Sie die Kommunikation mit einem Tool wie MicrosoftNetzwerkmonitor (http://www.microsoft.com/en-us/download/details.aspx?id=4865) oder ein Netzwerksniffer

Problembehandlung

Nachdem Sie das Zertifikat erfolgreich installiert haben, das Zertifikat erscheint nicht in der Zertifikat Liste auf der Zertifikat Registerkarte.

Hinweis Die Zertifikat Registerkarte ist der Protokolle für <InstanceName></InstanceName> Eigenschaften Das Dialogfeld, das von SQL Server-Konfigurations-Manager geöffnet wird.

Dieses Problem tritt auf, weil Sie möglicherweise ein ungültiges Zertifikat installiert haben. Wenn das Zertifikat ungültig ist, wird nicht aufgeführt auf der Zertifikat Registerkarte. Um festzustellen, ob das Zertifikat, das Sie installiert gültig ist, gehen Sie folgendermaßen vor:
  1. Öffnen Sie das Zertifikate-Snap-in. Hierzu finden Sie unter Schritt 1 im Abschnitt "Gewusst wie: Konfigurieren Sie das MMC-Snap-in".
  2. Erweitern Sie im Zertifikate-Snap-in Persönliche, und erweitern Sie dann Zertifikate.
  3. Suchen Sie im rechten Fensterbereich das Zertifikat, das Sie installiert haben.
  4. Bestimmen Sie, ob das Zertifikat die folgenden Anforderungen erfüllt:
    • Im rechten Bereich den Wert in der Verwendungszweck Spalte für dieses Zertifikat muss sein Server-Authentifizierung.
    • Im rechten Bereich den Wert in der Ausgestellt für Spalte muss den Namen des Servers sein.
  5. Doppelklicken Sie auf das Zertifikat, und überprüfen Sie, ob das Zertifikat die folgenden Anforderungen erfüllt:
    • Auf der Allgemein Registerkarte erhalten Sie die folgende Meldung angezeigt:
      Sie besitzen einen privaten Schlüssel, der die dieses Zertifikat entspricht.
    • Auf der Details Registerkarte den Wert für die Betreff Feld muss Servername sein.
    • Der Wert für die Die erweiterte Schlüsselverwendung Feld muss sein Server-Authentifizierung)<number></number>).
    • Auf der Zertifizierungspfad Registerkarte muss unter den Namen des Servers angezeigt. Zertifizierungspfad.
Wenn eine dieser Anforderungen nicht erfüllt ist, ist das Zertifikat ungültig.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-Bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Workgroup Edition
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
Keywords: 
kbsqlsetup kbhowtomaster kbmt KB316898 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 316898  (http://support.microsoft.com/kb/316898/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store