DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 276553 - Ultima modifica: martedì 4 aprile 2006 - Revisione: 10.4

 

In questa pagina

Sommario

In questo articolo sono elencati i passaggi da utilizzare per abilitare la crittografia SSL (Secure Socket Layer) Microsoft SQL Server 2000 se è installato un server di certificati valido nell'ambiente di rete. Se è stata acquistata certificati da un fornitore certificato di terze parti, seguire le istruzioni fornite dal produttore. SQL Server 2000 consente connessioni crittografate su tutte le librerie di rete utilizzando i certificati e la crittografia SSL. Per attivare crittografia di SQL Server è possibile tramite libreria di rete SuperSocket, Ssnetlib.dll o Dbnetlib.dll

Se si utilizza crittografia SSL in un cluster di SQL Server, è possibile utilizzare le stesse procedure ad eccezione del fatto che il certificato deve essere emesso per il nome di dominio completo del server SQL virtuale e non il singolo nome computer. Inoltre, il modo in Microsoft consiglia è utilizzare certificati e la crittografia SSL in un cluster di SQL Server è:
  1. Installare i certificati su ciascun nodo del cluster.
  2. Installare l'autorità principale attendibile in ciascun client.
  3. Attivare l'opzione di Force Encryption Protocol dai computer client utilizzando la rete di client utilità.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
319349  (http://support.microsoft.com/kb/319349/ ) BUG: Attivazione l'opzione "Crittografia protocollo force" è irreversibile se è presente nessun certificato
Per crittografare le comunicazioni tra un computer client e un server, è innanzitutto necessario decidere se si desidera che la crittografia per ogni server o in base al client. Tenere presente che vi sia un SQL corrente limitazione del server se si abilita la crittografia sul server. Sarà di crittografia per tutte le connessioni in ingresso. Se abilitare la crittografia sul computer client, tutte le connessioni in uscita da tale client provare a stabilire una connessione crittografata a qualsiasi SQL Server.

Inoltre, quando si abilita Crittografia protocollo force dal server, crittografa i dati e gli account di accesso. Tuttavia, non richiede il client per considerare attendibili lo stesso l'autorità principale. Se si preferisce il client per considerare attendibili lo stesso l'autorità principale, è necessario utilizzare utilità Configurazione di rete client o l'opzione della stringa di connessione affinché il protocollo di crittografia sul client. Questo legato alla progettazione.

SQL Server non viene avviato se il certificato è valido o se l'account di servizio che è stato utilizzato per avviare il servizio MSSQLServer Impossibile individuare il certificato. Si consiglia pertanto di richiedere il certificato mentre è connessi utilizzando l'account utente stesso utilizzato per avviare il servizio MSSQLServer.

Se nel computer in cui è in esecuzione SQL Server è installato Microsoft Internet Information Services (IIS), è possibile utilizzare la gestione del servizio IIS guidata sul Directory protezione scheda. Il certificato deve essere un certificato server che è stato emesso per il nome di dominio completo (FQDN) del server. Non è possibile utilizzare l'indirizzo IP per il nome del certificato. Un computer client è necessario richiedere la connessione al server dal nome FQDN o NetBIOS del server. Non è possibile connettersi al server utilizzando l'indirizzo IP del computer che esegue SQL Server.

Se il computer dispone di più certificati installati nell'archivio utente o nell'archivio del computer, sarà necessario specificare il certificato deve essere utilizzato per SQL Server.

Creare un valore di certificati di tipo REG_BINARY nella seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Fare clic sul valore del certificato e quindi digitare il valore di proprietà di identificazione personale del certificato nella colonna di dati.

Ad esempio, il Registro di sistema dovrebbe essere simile al seguente quando si esporta:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
Se questa chiave del Registro di sistema è impostata su 0 nel computer, il computer ignora i certificati del computer. Il computer che esegue SQL Server verrà avviare ma non leggere il certificato nel computer. Se si desidera utilizzare la crittografia e il computer dispone solo di un certificato, questa chiave del Registro di sistema non è necessario.

L'unico modo per verificare di aver commesso correttamente una connessione crittografata consiste per acquisire il traffico tra due computer utilizzando Microsoft Network Monitor o uno strumento di sniffer di rete. Per ulteriori informazioni sull'installazione di Microsoft Network Monitor, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
243270  (http://support.microsoft.com/kb/243270/ ) Come installare Network Monitor in Windows 2000

Richiedere e installare un certificato utilizzando un server di certificati

  1. Effettuare una connessione HTTP al server dei certificati, mentre è connessi utilizzando l'account stesso utilizzato per avviare il servizio MSSQLServer. Ad esempio, è possibile apportare la seguente connessione:
    http://mycertserver/certsrv (http://mycertserver/certsrv)
    Nota Si consiglia di avviare il servizio MSSQLServer utilizzando un account utente di dominio o un account utente locale dotato di privilegi minimi e non l'account di sistema locale.
  2. Selezionare Richiedi un certificato e quindi fare clic su Avanti .
  3. Nel Scegli tipo di certificato: pagina, fare clic per selezionare richiesta avanzata e scegliere Avanti .
  4. Selezionare inviare una richiesta di certificato a questo CA utilizzando un modulo e quindi fare clic su Avanti .
  5. Immettere il nome di dominio completo del computer nella casella nome . Eseguire il ping del computer per ottenere il nome di dominio completo se non si certi che cos'è.
  6. Nella sezione Scopo modifica la selezione per il certificato di autenticazione server utilizzando la discesa - casella di riepilogo a da di autenticazione client certificato. Per un'autorità di certificazione Enterprise è necessario scegliere un modello.
  7. Selezionare l'opzione Archivia certificato nell'archivio certificati computer locale.
  8. Lasciare l'impostazione predefinita tutti gli altri elementi. Fare clic su Invia .
  9. L'ultima pagina presenta un collegamento ipertestuale certificati per l'installazione . Fare clic su Installa questo certificato .
Per verificare che l'installazione del certificato è corretto, utilizzare uno di certificati di MMC snap-in per verificare i certificati o utilizzare lo strumento CertUtil.exe installato nel server dei certificati per elencare i certificati. Per caricare lo snap-in MMC certificati, attenersi alla seguente procedura:
  1. Per aprire la console MMC, fare clic sul pulsante Start e scegliere Esegui .
  2. Nella finestra di dialogo Esegui , digitare mmc e quindi fare clic su OK .
  3. Scegliere Aggiungi/Rimuovi snap-in dal menu console .
  4. Fare clic su Aggiungi e quindi fare clic su certificati .
  5. Fare clic su Aggiungi .

    Verrà chiesto di aprire lo snap-in per l'account utente corrente, per l'account di servizio o per l'account computer.
  6. Fare clic su account del computer .
  7. Fare clic su locale del computer e quindi fare clic su Fine
  8. Fare clic su Chiudi .
  9. Fare clic su OK .

    I certificati installati si trovano nella cartella certificati nel contenitore personale .
Fare doppio clic sul certificato e quindi assicurarsi che tutte le seguenti sono veri:
  • Una chiave privata corrispondente al certificato.
  • Il nome del soggetto del certificato è uguale il nome FQDN del computer.
  • Lo scopo previsto del certificato si è per l'autenticazione del server.
  • Il percorso del certificato dispone di una catena valida per l'autorità principale.

Attivare la crittografia SSL in SQL Server

Dopo avere installato il certificato sul server, è possibile attivare la crittografia SSL attenendosi alla seguente procedura:
  1. Utilizzare la configurazione di rete di SQL Server e fare clic per selezionare la casella di controllo Imponi crittografia protocolli .
  2. Arrestare e riavviare il servizio MSSQLServer per l'istanza predefinita o nome di istanza.
  3. Consente di utilizzare il log degli errori di SQL Server per verificare che SQL Server non ha dato errori quando avviato.

Attivare la crittografia SSL per un client specifico

Se non si desidera attivare la crittografia SSL globale sul server, è possibile attivare la crittografia SSL dal client specifici. Non attivare SSL crittografia del server e del client, utilizzare uno o l'altro. Se si attiva la crittografia SSL in base al client, il computer client deve ritenute attendibili anche il certificato del server. Il certificato deve essere esistente sul server. Il computer client non richiede un certificato, ma deve disporre il certificato del server come un'autorità di certificazione principale attendibili. Attenersi alla seguente procedura per attivare la crittografia SSL in base al client:
  1. Assicurarsi che disattivare o deselezionare l'opzione Imponi crittografia protocolli nell'utilità Configurazione di rete server.
  2. Stabilire una connessione di prova da un computer client utilizzando Network Monitor o uno strumento di sniffer di rete per verificare che la comunicazione tra un computer client e server non è crittografata.
  3. Fare clic con il pulsante destro del mouse verrà sull'icona situata sul desktop sul computer che esegue SQL Server.
  4. Fare clic con il pulsante destro del mouse su Proprietà .
  5. Fare clic sulla scheda contenuto .
  6. Fare clic su certificati .
  7. Fare clic su trusted di autorità di certificazione principale .
  8. Fare clic per selezionare l'Autorità di certificazione .
  9. Fare clic su Esporta e quindi fare clic su Avanti .
  10. Nella finestra di dialogo Formato File di esportazione , fare clic su Standard dei messaggi crittografati sintassi - PKCS # 7 certificati (. p7b) .
  11. Fare clic per selezionare la casella di controllo Includi tutti i certificati nel percorso certificazione se possibile .
  12. Selezionare un nome di file per il certificato esportato. Assicurarsi che il percorso del file sia un punto in cui il computer client può accedere in un secondo momento per l'importazione.
  13. Fare clic su Avanti e quindi fare clic su Fine .
  14. Sul computer client, selezionare il browser, fare clic con il pulsante destro del mouse su Proprietà , scegliere contenuto e quindi fare clic su certificati .
  15. Fare clic sulla scheda Autorità di certificazione principale attendibili .
  16. Fare clic su Importa , fare clic su Avanti , fare clic su Sfoglia e quindi fare clic su Modifica file di tipo: PKCS # 7 Certificates(*.p7b) .
  17. Selezionare il certificato esportato da SQL Server e quindi fare clic su Apri . Fare clic su Avanti .
  18. Fare clic per selezionare la casella di controllo Selezionare automaticamente l'archivio di certificati in base al tipo di certificato .
  19. Fare clic su per aggiungere il seguente certificato all'archivio principale.
  20. Fare clic su Avanti e quindi fare clic su Fine .
  21. Verrà visualizzata una finestra di dialogo con il testo:
    l'importazione non riuscita .
  22. Verificare che il certificato è visualizzata sotto il principale attendibile autorità di certificazione e che Scopi designati indica tutti .
  23. Fare clic su Visualizza per verificare che non gli errori segnalati con il certificato.
  24. Fare clic sulla scheda Percorso certificazione e quindi verificare lo stato certificato per verificare se si è impostato su OK .
  25. Aprire l'utilità Configurazione di rete client e quindi fare clic per selezionare la casella di controllo Imponi crittografia protocolli .

Verificare la crittografia da un client

Per verificare la crittografia da un client, utilizzare uno dei metodi descritti di seguito:
  • Utilizzare lo strumento Query Analyzer.
  • Utilizzare qualsiasi applicazione ODBC in cui è possibile modificare la stringa di connessione.

Query Analyzer

Per eseguire test con lo strumento SQL Query Analyzer, attenersi alla seguente procedura:
  1. Utilizzare l'utilità di rete client SQL Server.
  2. Fare clic per selezionare la casella di controllo Imponi crittografia protocolli .
  3. Connettersi al server che esegue SQL Server 2000 mediante Query Analyzer.
  4. Monitorare la comunicazione mediante la Microsoft Network Monitor o un sniffer di rete.

Applicazione ODBC

Per eseguire test con un'applicazione ODBC, attenersi alla seguente procedura:
  1. Modificare la stringa di connessione ODBC o OLEDB:

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Connettersi al computer in cui è in esecuzione SQL Server 2000 e monitorare la comunicazione mediante la Microsoft Network Monitor o un sniffer di rete.

Riferimenti

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
316898  (http://support.microsoft.com/kb/316898/ ) Come attivare la crittografia SSL per un'istanza di SQL Server utilizzando Microsoft Management Console

Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Chiavi: 
kbmt kbhowtomaster KB276553 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 276553  (http://support.microsoft.com/kb/276553/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store