[How To]如何给SQL Server配置证书

最新推荐文章于 2025-02-28 15:12:28 发布
转载 最新推荐文章于 2025-02-28 15:12:28 发布 · 6.6k 阅读 · 4

http://blogs.msdn.com/b/apgcdsd/archive/2011/01/20/how-to-sql-server.aspx


默认情况下从SQL Server 2005开始SQL Server会使用自动生成的证书来加密与客户的连接和数据包传输。你也可以给SQL Server配置你自己的证书来实现更高的安全性。

 

证书从哪里获得

你可以从第三方的证书颁发机构获得证书。你也可以选择使用工具制作自签名的证书用作测试的用途,或者你可以从你企业内部的证书的服务器来申请证书用作企业内部使用。

要制作自签名的证书,你可以使用IIS 6.0 Resource Kit中的SelfSSL工具(如果你的机器上有安装IIS的话)。在命令行中,输入以下命令:

selfssl.exe /N:CN=<FQDN> /K:1024 /V:7 /S:1 /P:442 /T

注意你需要将<FQDN>替换成你SQL Server服务器主机的实际FQDN。然后你会被询问“Do you want to replace the SSL settings for site 1 (Y/N)”。输入”Y”。这样证书就会被自动安装到本机的Certificate store中去。

如果你的机器上没安装IIS的话,你可以使用.NET SDK中的makecert工具来制作自签名的证书。大致方法如下:

1.使用makecert工具来生成pvk和cer文件。

makecert -r -pe -sv c:\test.pvk -n "CN=<FQDN>" -b 01/01/2000 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 c:\test.cer

2.使用pvk2pfx工具生成pfx文件。

pvk2pfx.exe -pvk c:\test.pvk -spc c:\test.cer -pfx c:\test.pfx -po <password>

请注意你仍需要将<FQDN>替换成你SQL Server服务器主机的实际FQDN,<password>也要更换成实际的密码。得到证书后,你需要将证书安装到certificate store(根据SQL Sever的启动账号决定是local computer或current user store)的personal以及"Trusted Root Certification Authorities"目录下。

如果你的企业内部有证书服务器的话,你也可以从那里来申请证书。这里我用Windows Server自带的Certificate Authority(CA)为例。

1.       访问CA的网站来申请证书。申请时,name部分要填写SQL Server主机的FQDN,Type of Certificate Needed需要选择Server Authentication Certificate。Key Options要选exchange或者Both。如果你需要证书可以被重复导入导出,要勾选"Mark keys as exportable"。你也可以勾选"Store certificate in the local computer certificate store",这样你在下载证书的时候就可以直接安装到本机的certificate  store里去了。

 

  

 

2.       等到证书被核发之后,你就可以通过CA的网站来下载证书了。同样的,也需要将证书安装到Certificate store的personal以及"Trusted Root Certification Authorities"目录下。

 

 

 

证书的配置

我们先来了解下SQL Server装载证书的步骤。

1.       SQL Server 搜索HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.1\MSSQLServer\SuperSocketNetLib\Certificate。通过Certificate键值中记录的证书的thumbprint来到certificate store中寻找相应的证书。如果找不到该证书,则SQL Server启动失败。

2.       如果Certificate键值为空,则SQL Server到certificate store中去寻找subject CN与SQL Server服务器主机的FQDN相同的证书。如果有这样的证书存在,SQL Server就读取第一个它找到的证书,装载并启动。

3.       如果还是找不到证书,则SQL Server就自动生成一个证书并使用这个证书启动。

有人可能是通过SQL Server configuration manager来选择证书并将它配置给SQL Server的。其实SQL Server configuration manager也是通过写Certificate键值来达到配置证书的目的。另外要注意的是SQL Server configuration manager中的下拉列表只能显示那些subject CN与SQL Server服务器主机的FQDN相同的证书。因此如果你需要配置一个CN与SQL Server服务器主机的FQDN不同的证书的话(除非是cluster环境,否则不推荐这样做,可能导致客户端连接问题),就需要使用手动修改Certificate键值的方法。

其次,如果不指定Certificate键值的话,则SQL Server自动搜索Certificate store中符合要求的证书。此时如果存在多个证书的话,我们是无法控制SQL Server选择哪个证书的。理论上SQL Server使用它找到的“第一个”证书,但是我们不能确定第一个证书是哪个。

基于上述的考虑,为了确定SQL Server使用我们想要的证书,我们推荐永远使用编辑Certificate注册表键值的方式来配置证书。具体的配置方式是:

1.       在Certificate中打开要使用的证书,复制其thumbprint。

2.       如果HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.1\MSSQLServer\SuperSocketNetLib\Certificate不存在的话,就手动创建一个。需要注意的是,对于SQL Server 2000的,键值的类型是binary,对于SQL Server 2005及以后版本的SQL Server,键值的类型是string。

3.       对于SQL Server 2000,将thunbprint的值逐个输入到certificate键值中去。对于SQL Server 2005及以后版本的SQL Server,将thumbprint中的空格全部删除,然后复制到certificate键值中去。

最后,对于cluster环境下的SQL Server,由于证书的subject CN域等于SQL Server的虚拟网络名而不是某个节点的FQDN,因此无论你在哪个节点使用SQL Server Configuration Manager都是看不到该证书的,所以cluster环境下我们需要在所有cluster节点上手动编辑Certificate键值来为SQL Server配置证书。

当证书被成功配置后,我们启动SQL Server,然后检查SQL Server的error log。如果看到这么一句话:

 

The certificate was successfully loaded for encryption.

 

 

那么我就可以确认证书配置成功了。从SQL Server 2008开始,上述信息后面还会附带所装载证书的thumbprint,方便你进一步确认SQL Server确实使用了你所指定的证书。


二、SQLServer 的适配记录
空空说技术的博客
04-23 766
这里,使用的工具是navicat,连接了SQLSERVER数据库,上诉基本上就是在适配企业项目的时候,遇到的问题了,本教程不是给你提供源代码,适配这种事都是问题的解决,代码的改造,提供更多问题和解决方便供大家参考,才是最有利的方式!然后代码中的SQL语句是小写的,在mysql下设置大小写忽略的,所有可以通用。但在SQLSERVER中默认是对大小写严格的,因此用不了。
SQLServer -ServiceBroker
时光
08-13 3115
1.ServiceBroker简介 直接把文档原话copy过来吧: SQL Service Broker is one of the best recent features in SQL Server 2005 because it makes it possible to write queuing and message-based applications. With Service...
SQLServer数据证书加密设置
03-19
SQLServer进行协议安全设置后,通过web传输的所有数据全都是通过加密的,即使对方从中间窃取到信息,也完全不用担心...
Windows下SqlServer安装证书
weixin_44531910的博客
01-12 3230
SqlServer 安装证书,数据传输加密
SQLserver安全设置攻略
aome1470的博客
03-21 261
日前SQLINJECTION的攻击测试愈演愈烈,很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQLSERVER数据库,正因为如此,很多人开始怀疑SQLSERVER的安全性。其实SQLSERVER2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别,所以使用SQLSERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距,但是SQLSER...
SQLServer证书过期,重做证书
qq_42890862的博客
01-05 2309
(1)查询证书相关信息 SELECT * FROM sys.certificates 查看证书 SELECT * FROM sys.endpoints 查看端点 SELECT * FROM sys.syslogins 查看登录 SELECT * FROM sys.sysusers 查看用户 (2)删除可用性组 (3)删除端点 DROP ENDPOINT Hadr_endpoint (4)删除证书 DROP CERTIFICATE sqlserver_1_certificate DROP CERTIFICAT
sql server mysql 证书_通过证书的方式实现SQL Server 数据库镜像 | 学步园
weixin_29027597的博客
02-22 462
通过证书的方式实现SQL Server 数据库镜像一、为主体数据库配置出站连接--创建数据库主密钥CREATE MASTER KEY ENCRYPTION BY PASSWORD = '111111';GO--在MIR-A上为数据库实例创建证书USE master;CREATE CERTIFICATE MIR_A_certWITH SUBJECT = 'MIR_A certificate',STA...
SQL Server 2019中的证书管理
culuo4781的博客
07-26 3692
介绍 (Introduction) Certificate Management in SQL Server 2019 has been enhanced a lot when compared with previous versions of SQL Server, and it is part of a large set of new features and enhanceme...
how to use directory listing enabled to check the server for vulnerabilities?
最新发布
07-13
首先,用户的问题是:“how to check server vulnerabilities using directory listing enabled configuration”,翻译成中文是:“如何通过启用目录列表来检查服务器是否存在漏洞”。用户想了解如何使用目录列表...
How To Install phpIPAM on Ubuntu 22.0420.0418.04
10-06
为了增强安全性,建议启用HTTPS并配置SSL证书,以及限制对phpIPAM目录的直接访问。 **10. 定期更新** 定期检查phpIPAM的更新,并根据需要升级到最新版本,以保持系统的安全性和功能性。 通过遵循以上步骤,你将在...
sqlserver 微软认证题库(很经典很实用的)
04-27
微软认证考试的题几乎80%的都从这里面 挑选的 资源共享嘛 给那些需要的人解解围啊 绝对实用啊
一零五四、sqlserver对数据进行证书加密、解密
04-11 926
接着,该语句从TBLUser的表中选择所有用户的名称和密码,并将密码使用TestSymmetric对称密钥进行解密,最终以明文形式返回。接着,该语句向TBLUser的表中插入一个名为'张三'的用户,并将其密码'123456'使用TestSymmetric对称密钥进行加密。用来进行数据加密和解密,该语句使用TestSymmetric的对称密钥和TestCert的证书来加密和解密数据。此处使用密码"passW@ord"对主密钥进行加密,主密钥用于保护数据库中的其他加密对象,例如对称密钥和证书
微软SQL服务器管理,证书管理(SQL Server 配置管理器)
weixin_36314729的博客
08-12 970
证书管理(SQL Server 配置管理器)01/12/2021本文内容适用于:SQL Server(所有支持的版本) - 仅限 Windows本主题介绍如何在 SQL Server Always On 故障转移群集或可用性组拓扑上部署和管理证书。SSL/TLS 证书广泛用于保护对 SQL Server 的访问。 对于早期版本的 SQL Server,具有大型 SQL Server 资产的组织通常...
SqlServer】如何把本地SqlServer数据库部署到远程服务器上
weixin_34015336的博客
11-12 1242
这里笔者使用的使用SqlServer2012,本机和远程环境均为Win7. 1.选中需要部署的数据库,右击》任务》分离。选中删除连接。 2.现在在左侧的表中就看不见刚才那个数据了。 3.在本地找到分离出来的数据库的位置,该位置就是读者建立数据库的时候指定的位置。比如笔者的位置的为“D:\databaseContainer\moveCheck” 4.在这个有两个数据库文件,其中以...
链接sqlserver数据库提示:证书链是由不受信任的颁发机构颁发的错误
热门推荐
ai
06-28 1万+
链接sqlserver数据库提示:证书链是由不受信任的颁发机构颁发的错误添加到连接字符串。这将强制客户端在不验证的情况下信任证书
sqlserver 登录认证
软件开发大神
12-21 1039
 系统已经提示得很清楚了:用户 sa 登录失败请检查一下,sa用户的密码是不是正确。sa是SQLServer的超级用户,相当于Windows的Administrator帐号。通常,密码会在Web.config文件中,要确保这个密码和数据库中实际的sa密码一致。还有种可能,你安装SQLServer是没有选择混合认证模式,而是选择Windows验证模式。如果是这样,你可以通过企业管理器(S
SQL Server 2008中的代码安全(七): Certificate 证书加密、对称密钥
Java_c#
09-18 1614
一、证书加密 证书可以在数据库中加密和解密数据。 证书包含密钥对、关于证书拥有者的信息、证书可用的开始和结束过期日期。 证书同时包含公钥和密钥,前者用来加密,后者解密。SQL Server可以生成它自己的证书, 也可以从外部文件或程序集载入。因为可以备份然后从文件中载入它们,证书比非对称密钥更易于移植, 而非对称密钥却做不到。这意味着可以在数据库中方便地重用同一个证书。   注意:证
Sqlserver安全篇之_TLS的证书概念
lusklusklusk的博客
02-28 1251
在请求证书时,不需要提供主机列表,且可在将来可能需要的任何数量的主机上使用该证书。所以,现在如果公司局域网内的域名是dai.com,所有数据库服务器都在这个域名内,也就是说数据库服务器的FQDN完整主机名都是dbservername.dai.com这样子的,所以如果需要给公司局域网内的数据库服务器启用TLS,那么证书最好就是使用商业CA颁发的证书(数字证书的三种主要类型中的第三种),并且使用通配符来匹配证书(证明证书持有者自称的身份属实的三种方法中的第三种),通配符为*dai.com。
SQL Server 2008 R2 通过证书配置数据库镜像
清山博客
07-02 3273
SQL Server 2008 R2数据库镜像功能可以使数据库进行实时备份,当主体数据库出现问题后,可以迅速切换到备用数据库,提高了数据库的可用性。一、工作原理    数据库镜像维护一个数据库的两个副本,这两个副本必须驻留在不同的 SQL Server 数据库引擎 服务器实例上。 通常,这些服务器实例驻留在不同位置的计算机上。 启动数据库上的数据库镜像操作时,在这些服务器实例之间形成一种关系,称为...
how to start ocean base server sqlr in linux
03-29
<think>好的,用户现在的问题是如何在Linux上启动OceanBase的SQL服务(可能是SQL*Plus或者类似工具)。之前用户询问过关于从Oracle迁移到OceanBase时遇到的序列问题,现在可能正在尝试实际部署和连接OceanBase,所以需要启动相关服务进行测试或操作。 首先,我需要确定用户提到的“sqlr”具体指什么。在OceanBase的语境中,可能是指SQL命令行工具,比如obclient或者OceanBase自带的客户端工具。可能用户误写为“sqlr”,或者是指某个特定组件。需要先明确这一点,但根据常见情况,假设用户是想启动OceanBase数据库服务并连接到SQL客户端。 接下来,用户可能是在Linux环境下部署OceanBase,但不确定他们是否已经安装好了OceanBase,或者是否只是安装了客户端工具。需要分步骤指导,包括安装、启动服务、连接客户端等。同时,用户可能对OceanBase的架构不太熟悉,比如单机部署和集群部署的区别,是否需要先启动observer进程等。 另外,用户之前遇到的问题涉及迁移工具OMS,可能在迁移过程中需要连接到OceanBase执行SQL命令,所以启动SQL客户端是必要的一步。需要确保用户正确安装了OceanBase的客户端工具,比如obclient,并且配置了正确的连接信息,如主机地址、端口、用户名、密码、租户名等。 可能用户遇到的困难包括如何安装客户端工具,如何确认OceanBase服务已经启动,以及连接时的参数设置。需要详细说明每个步骤,包括检查服务状态、安装客户端、连接命令示例,以及常见问题的解决方法,比如防火墙设置、密码错误等。 最后,需要给出验证连接成功的方法,比如执行简单的SQL语句,确保用户能够正确操作数据库。同时提醒用户注意部署模式的不同(如Docker部署可能需要不同的步骤),以及官方文档的重要性,确保用户能够进一步查阅资料解决问题。</think>------------- ### **分步骤说明:如何启动OceanBase SQL服务(以Linux为例)** ------------- #### **步骤1:确认OceanBase部署模式** OceanBase的SQL服务依赖**observer进程**运行,需先明确部署方式: 1. **单机测试模式**:通过`obd`工具快速部署(适合开发测试) 2. **生产集群模式**:需配置多节点(需要ZooKeeper/OceanBase RootService) 👉 **本文以单机部署为例**,使用OceanBase官方工具`obd`进行操作。 ------------- #### **步骤2:启动OceanBase服务** 1. **检查observer进程状态**: ```bash obd cluster list # 查看已部署的集群名称 obd cluster display <cluster-name> # 检查节点状态 ``` 2. **启动/重启服务**: ```bash obd cluster start <cluster-name> # 首次启动 obd cluster restart <cluster-name> # 若已部署但未运行 ``` 3. **验证服务状态**: ```bash netstat -ntlp | grep 2881 # 默认SQL端口2881应处于LISTEN状态 ``` ------------- #### **步骤3:连接SQL客户端(obclient)** 1. **安装obclient**: ```bash # CentOS/RHEL sudo yum install obclient # Ubuntu/Debian sudo apt-get install obclient ``` 2. **基础连接命令**: ```bash obclient -h<IP> -P<PORT> -u<USER> -p<PASSWORD> -D<DATABASE> -c -A ``` - **示例**(连接默认sys租户): ```bash obclient -h127.0.0.1 -P2881 -uroot@sys -p"" -Doceanbase -c -A ``` 3. **关键参数说明**: | 参数 | 典型值 | 说明 | |------------|-------------------------|--------------------------------| | `-h` | 127.0.0.1 | 服务器IP(若本地部署用回环地址)| | `-P` | 2881 | SQL服务端口 | | `-u` | root@sys 或 user@tenant | 用户名@租户名 | | `-p` | 空密码或自定义密码 | 密码(空密码需用`-p""`) | | `-D` | oceanbase | 默认数据库 | | `-c` | N/A | 启用交互模式 | | `-A` | N/A | 禁止自动重连 | ------------- #### **步骤4:验证SQL执行** 连接成功后,执行测试命令: ```sql SHOW DATABASES; -- 查看数据库列表 SELECT @@version; -- 查询OceanBase版本 ``` ------------- ### **常见问题处理** #### **问题1:连接超时** - **现象**:`ERROR 2013 (HY000): Lost connection to server` - **解决方案**: 1. 检查防火墙是否开放2881/2882端口: ```bash sudo firewall-cmd --list-ports # CentOS sudo ufw status # Ubuntu ``` 2. 确认observer进程正常运行: ```bash ps -ef | grep observer ``` #### **问题2:认证失败** - **现象**:`ERROR 1045 (28000): Access denied` - **解决方案**: 1. 确认密码是否正确(新部署默认root密码为空) 2. 检查用户是否绑定到正确的租户: ```sql -- 在OceanBase中查询用户权限 SELECT * FROM oceanbase.__all_user; ``` ------------- ### **扩展:Docker快速启动(备选方案)** 若需快速测试,可直接使用OceanBase官方Docker镜像: ```bash # 拉取镜像 docker pull oceanbase/oceanbase-ce # 启动容器 docker run -p 2881:2881 --name ob -d oceanbase/oceanbase-ce # 进入容器并连接 docker exec -it ob /bin/bash obclient -h127.0.0.1 -uroot@sys -P2881 -p"" -A oceanbase ``` ------------- ### **关键总结** 1. 先通过`obd`启动observer进程,再通过`obclient`连接 2. 连接字符串必须包含**租户名**(如`root@sys`) 3. 生产环境需替换`127.0.0.1`为实际服务器IP,并配置安全组规则 建议参考[OceanBase官方文档](https://www.oceanbase.com/docs)获取最新配置细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值