史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   安全第一,在sql server和client之間配置ssl連接 (http://forum.slime.com.tw/thread99633.html)

psac 2004-03-11 07:55 PM

安全第一,在sql server和client之間配置ssl連接
 
安全第一,在sql server和client之間配置ssl連接

我辛辛苦苦苦研究了2個小時,才把它完成。我菜呀:D 我是sql菜鳥!
MS SQL Server的密碼明文傳輸是安全上的一個缺陷。具體的我就不描述了,有興趣可以參考一下這個文章:
深入探索sql2000網路連接安全問題

所以我只能說說我是怎麼實現sql server 2000的ssl的。因為資料很多,我只說一個大概步驟。並且我把我用過的資料、我遇到的問題都在後面列舉出來了。需要的可以自己參考

關於啟用 sql server 2000 ssl 連接的操作
在預設值情況下,Sql Server2000對於客戶端的連接是明文的,有可能被網路中的其他惡意攻擊者使用嗅探軟體所監聽。所以在需要高度安全性的場合,可以考慮在客戶端和服務器端使用ssl連接以提高安全性。
配置sql2000使用ssl ,必須在網路中存在Certificate Server 。配置步驟:
1. 在「新增刪除程序」-新增組建—選擇「證書服務」
2. 按照證書服務的提示,選擇安裝企業根ca或者獨立根ca 。我選擇的是獨立根ca
3. 完成安裝後,確認管理工具裡面,出現「證書頒發機構」的插件
下面是為sql server 請求一個證書的操作:
1. 如果前面選擇的是獨立根ca的話,開啟ie瀏覽器。在地址欄輸入:http://servername/certsrv ,向你的證書服務器提交一個證書申請。
2. 在申請頁面,選擇請求證書—高階請求—使用表格提交請求,下一步
3. 在證書內容裡面,要填寫證書的名稱。這裡要注意名稱必須選擇服務器的fqdn名稱,否則有可能會出現錯誤。申請的證書選擇「服務器驗證證書(Server Authentication Certificate)」,並且選擇「使用本地電腦存儲」,提交請求
4. 在ca中許可這個申請,然後在ie中選擇檢視提交的申請選項,並且安裝證書
下面可以確認證書安裝是否正確:
1. 在ie—內容—內容—證書選項,檢視是否存在剛才頒發的證書,並且作用為「服務器身份驗證」
2. 開啟mmc控制台,新增「證書」插件(包括電腦帳號)。確認剛才頒發的證書存在。

Sql服務器上的操作:
1. 在sql的「服務器實用工具(SQL Server Network Utility)」裡,選擇「強制使用協議加密」
2. 重新啟動MSSQLServer service 。確認能正常啟動
3. 在「客戶端實用工具」 ,選擇「強制使用協議加密」

測試:
可以使用Query Analyzer和ODBC application進行連接,然後使用網路監視軟體進行抓包,確認是否啟用了ssl 。

常見錯誤:
1. 在安裝證書服務的時候,將證書服務的名稱設置成和主機名一樣的名稱。這樣會導致sql server在初始化時失敗,這個問題可以看kb:http://support.microsoft.com/default...&Product=sql2k
2. 在申請證書的時候,證書的名稱沒有使用fqdn完全限定域名。這是引起sql server 「SSL Security error :ConnectionOpen (SECDoClientHandshake()」錯誤的原因之一。Kb309398闡述了這個問題:http://support.microsoft.com/default...&Product=sql2k
3. 關於可以參考的安裝配置文章:HOW TO: Enable SSL Encryption for SQL Server 2000 with Certificate Server 可以參看kb:http://support.microsoft.com/default...roduct=sql2k#2(有ppt可下載)
http://support.microsoft.com/default...&Product=sql2k


所有時間均為台北時間。現在的時間是 01:20 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1