啟用 Database Engine 的加密連接 (SQL Server 組態管理員)
本主題描述如何使用 SQL Server 組態管理員 指定 Database Engine 的憑證,以啟用 SQL Server Database Engine 實例的加密連線。 伺服器電腦必須提供憑證,且用戶端機器必須設定為信任該憑證的根授權單位。 提供是安裝憑證的處理序,方法是將它匯入 Windows。
您必須針對 伺服器驗證發出此憑證。 憑證的名稱必須是電腦的完整網域名稱 (FQDN)。
電腦上之使用者的憑證會儲存在本機中。 若要安裝憑證以供SQL Server使用,您必須在與SQL Server服務相同的使用者帳戶下執行SQL Server 組態管理員,除非服務以 LocalSystem、NetworkService 或 LocalService 的形式執行,在此情況下,您可以使用系統管理帳戶。
用戶端必須可確認伺服器所使用之憑證的擁有權。 如果用戶端具有已簽署伺服器憑證之憑證授權單位的公開金鑰憑證,則不需要進一步進行組態設定。 Microsoft Windows 包含許多憑證授權單位的公開金鑰憑證。 如果伺服器憑證是由用戶端沒有公開金鑰憑證的公開或私人憑證授權單位所簽署,則您必須安裝已簽署伺服器憑證之憑證授權單位的公開金鑰憑證。
注意
若要在容錯移轉叢集中使用加密功能,請務必在容錯移轉叢集中的所有節點上,對於虛擬伺服器使用完整的 DNS 名稱來安裝伺服器憑證。 例如,如果您有兩個節點的叢集,且具有名為 test1 的節點。< 您的 company.com >和 test2。<您的 company.com >和您有名為 virtsql 的虛擬伺服器,您必須安裝 virtsql 的憑證。< 這兩個節點上的 company.com >。 您可以將 [[ForceEncryption]] [ForceEncryption]選項的值設為 [是] [是]。
本主題內容
若要在伺服器上提供 (安裝) 憑證
在 [ 開始 ] 功能表上,按一下 [ 執行],然後在 [ 開啟 ] 方塊中輸入
MMC,然後按一下 [ 確定]。在 MMC 主控台的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [新增]。
在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [憑證],然後按 [新增]。
在 [憑證嵌入式管理單元] 對話方塊中,按一下 [電腦帳戶],然後按 [完成]。
在 [新增獨立嵌入式管理單元] 對話方塊中,按一下 [關閉]。
在 [新增/移除嵌入式管理單元] 對話方塊中,按一下 [確定]。
在 [憑證] 嵌入式管理單元中,展開 [憑證] 後再展開 [個人],然後以滑鼠右鍵按一下 [憑證],接著指向 [所有工作],再按 [匯入]。
完成 [憑證匯入精靈] 以加入憑證至電腦中,然後關閉 MMC 主控台。 如需新增憑證至電腦的詳細資訊,請參閱 Windows 文件集。
若要匯出伺服器憑證
從 [憑證] 嵌入式管理單元的 [憑證] / [個人] 資料夾中找到憑證,以滑鼠右鍵按一下 [憑證] ,並指向 [所有工作] ,然後按一下 [匯出] 。
完成 [憑證匯出精靈] ,並將憑證檔儲存在方便取得的位置。
若要設定伺服器接受加密的連接
在[SQL Server 組態管理員] 中,展開[SQL Server網路組態],以滑鼠右鍵按一下伺服器實例 > 的 < [通訊協定],然後選取 [屬性]。
在[實例名稱 > 的通訊協定 <內容] 對話方塊的 [憑證] 索引標籤上,從 [憑證] 方塊的下拉式清單中選取所需的憑證,然後按一下 [確定]。
在 [旗標] 索引標籤的 [ForceEncryption] 方塊中選取 [是] ,然後按一下 [確定] 以關閉對話方塊。
重新啟動 SQL Server 服務。
若要設定用戶端要求加密的連接
將原始憑證或匯出的憑證檔複製到用戶端電腦。
在用戶端電腦上,使用 [憑證] 嵌入式管理單元安裝根憑證或匯出的憑證檔。
在主控台窗格中,以滑鼠右鍵按一下 [SQL Server Native Client 組態],然後按一下 [屬性]。
在 [旗標] 頁面的 [強制通訊協定加密] 方塊中,按一下 [是] 。
若要從 SQL Server Management Studio 加密連接
在 [物件總管] 工具列上,按一下 [連接] ,再按一下 [Database Engine] 。
在 [連接到伺服器] 對話方塊中,完成連接資訊,然後按一下 [選項] 。
在 [連接屬性] 索引標籤上,按一下 [加密連接] 。