啟用 Database Engine 的加密連接 (SQL Server 組態管理員)
本主題描述如何使用 SQL Server 組態管理員 來指定 資料庫引擎 的憑證,以啟用 SQL Server 資料庫引擎 實例的加密連線。 伺服器計算機必須布建憑證,而且用戶端計算機必須設定為信任憑證的跟證書授權單位。 布建是將憑證匯入 Windows 來安裝憑證的程式。
您必須針對 伺服器驗證發出此憑證。 憑證的名稱必須是電腦的完整網域名稱 (FQDN)。
電腦上之使用者的憑證會儲存在本機中。 若要安裝憑證以供 SQL Server 使用,您必須在與 SQL Server 服務相同的使用者帳戶下執行 SQL Server 組態管理員,除非服務是以 LocalSystem、NetworkService 或 LocalService 執行,在此情況下,您可以使用系統管理帳戶。
用戶端必須可確認伺服器所使用之憑證的擁有權。 如果用戶端具有已簽署伺服器憑證之憑證授權單位的公開金鑰憑證,則不需要進一步進行組態設定。 Microsoft Windows 包含許多憑證授權單位的公開金鑰憑證。 如果伺服器證書是由客戶端沒有公鑰憑證的公開或私人證書頒發機構單位所簽署,您必須安裝簽署伺服器證書之證書頒發機構單位的公鑰憑證。
注意
若要在容錯移轉叢集中使用加密功能,請務必在容錯移轉叢集中的所有節點上,對於虛擬伺服器使用完整的 DNS 名稱來安裝伺服器憑證。 例如,如果您有兩個節點的叢集,且具有名為test1的節點。<您的公司>.com及test2。<您的公司>.com,而且您有名為 virtsql 的虛擬伺服器,您必須安裝 virtsql 的憑證。<您的公司>.com這兩個節點上。 您可以將 ForceEncryption 選項的值設定為 [是]。
本主題內容
在伺服器上布建 (安裝) 憑證
在 [開始] 功能表上,按兩下 [執行],然後在 [開啟] 方塊中輸入
MMC,然後按兩下 [確定]。在 MMC 主控台的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。
在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [憑證],然後按 [新增]。
在 [憑證嵌入式管理單元] 對話方塊中,按一下 [電腦帳戶],然後按 [完成]。
在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉]。
在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。
在 [憑證] 嵌入式管理單元中,依序展開 [憑證]、[個人],然後以滑鼠右鍵按兩下 [憑證],指向 [所有工作],然後按兩下 [匯入]。
完成 [憑證匯入精靈] 以加入憑證至電腦中,然後關閉 MMC 主控台。 如需新增憑證至電腦的詳細資訊,請參閱 Windows 文件集。
匯出伺服器證書
從 [憑證] 嵌入式管理單元中,找出 [憑證 / 個人] 資料夾中的憑證,以滑鼠右鍵按兩下 [憑證],指向 [所有工作],然後按兩下 [導出]。
完成 [憑證匯出精靈] ,並將憑證檔儲存在方便取得的位置。
若要將伺服器設定為接受加密連線
在 [SQL Server 組態管理員] 中,展開 [SQL Server 網络組態],以滑鼠右鍵按兩下 [伺服器實例>的<通訊協定],然後選取 [屬性]。
在 [實例名稱>的通訊協定<內容] 對話方塊的 [憑證] 索引標籤上,從 [憑證] 方塊的下拉式清單中選取所需的憑證,然後按兩下 [確定]。
在 [ 旗標] 索引 標籤的 [ForceEncryption ] 方塊中,選取 [是],然後按兩下 [ 確定 ] 關閉對話框。
重新啟動 SQL Server 服務。
設定用戶端要求加密連線
將原始憑證或匯出的憑證檔複製到用戶端電腦。
在用戶端電腦上,使用 [憑證] 嵌入式管理單元安裝根憑證或匯出的憑證檔。
在控制檯窗格中,以滑鼠右鍵按兩下 [SQL Server Native Client 組態],然後按兩下 [ 屬性]。
在 [ 旗標] 頁面上的 [ 強制通訊協定加密 ] 方塊中,按兩下 [ 是]。
從 SQL Server Management Studio 加密連線
在 [物件總管] 工具列上,按一下 [連接] ,再按一下 [Database Engine] 。
在 [連接到伺服器] 對話方塊中,完成連接資訊,然後按一下 [選項]。
在 [ 連線屬性] 索引標籤上,按兩下 [ 加密連線]。