安全第一，在sql server和client之間配置ssl串連

http://www.edong.org/main/content/view/259/42/ 執筆： Administrator

2004-05-18

MS SQL Server的密碼明文傳輸是安全上的一個缺陷。具體的我就不描述了，有興趣可以參考一下這個文章：深入探索sql2000網路連接安全問題 所以我只能說說我是怎麼實現sql server 2000的ssl的。因為資料很多，我只說一個大概步驟。並且我把我用過的資料、我遇到的問題都在後面列舉出來了。需要的可以自己參考 關於啟用 sql server 2000 ssl 串連的操作 在預設情況下，Sql Server2000對於用戶端的串連是明文的，有可能被網路中的其他惡意攻擊者使用嗅探軟體所監聽。所以在需要高度安全性的場合，可以考慮在用戶端和伺服器端使用ssl串連以提高安全性。 配置sql2000使用ssl ，必須在網路中存在Certificate Server 。配置步驟： 1. 在“添加刪除程式”-添加組建—選擇“認證服務” 2. 按照認證服務的提示，選擇安裝企業根ca或者獨立根目錄ca 。我選擇的是獨立根目錄ca 3. 完成安裝後，確認管理工具裡面，出現“憑證授權單位”的外掛程式 下面是為sql server 請求一個認證的操作： 1. 如果前面選擇的是獨立根目錄ca的話，開啟ie瀏覽器。在地址欄輸入：http://servername/certsrv ，向你的認證伺服器提交一個認證申請。 2. 在申請頁面，選擇請求認證—進階請求—使用表格提交請求，下一步 3. 在認證內容裡面，要填寫認證的名稱。這裡要注意名稱必須選擇伺服器的fqdn名稱，否則有可能會出現錯誤。申請的認證選擇“伺服器驗證認證（Server Authentication Certificate）”，並且選擇“使用本機電腦儲存”，提交請求 4. 在ca中許可這個申請，然後在ie中選擇察看提交的申請選項，並且安裝認證 下面可以確認認證安裝是否正確： 1. 在ie—屬性—內容—認證選項，查看是否存在剛才頒發的認證，並且作用為“伺服器身分識別驗證” 2. 開啟mmc控制台，添加“認證”外掛程式（包括電腦帳號）。確認剛才頒發的認證存在。 Sql伺服器上的操作： 1. 在sql的“伺服器工具 + 生產力（SQL Server Network Utility）”裡，選擇“強制使用協議加密” 2. 重新啟動MSSQLServer service 。確認能正常啟動 3. 在“用戶端工具 + 生產力” ，選擇“強制使用協議加密” 測試： 可以使用Query Analyzer和ODBC application進行串連，然後使用網路監視軟體進行抓包，確認是否啟用了ssl 。 常見錯誤： 1． 在安裝認證服務的時候，將認證服務的名稱設定成和主機名稱一樣的名稱。這樣會導致sql server在初始化時失敗，這個問題可以看kb：http://support.microsoft.com/default.aspx?scid=kb;en-us;302409&Product=sql2k 2． 在申請認證的時候，認證的名稱沒有使用fqdn完全限定網域名稱。這是引起sql server “SSL Security error :ConnectionOpen (SECDoClientHandshake()”錯誤的原因之一。Kb309398闡述了這個問題：http://support.microsoft.com/default.aspx?scid=kb;en-us;309398&Product=sql2k 3． 關於可以參考的安裝配置文章：HOW TO: Enable SSL Encryption for SQL Server 2000 with Certificate Server 可以參看kb：http://support.microsoft.com/default.aspx?scid=kb;en-us;276553&Product=sql2k#2（有ppt可下載） http://support.microsoft.com/default.aspx?scid=kb;en-us;324777&Product=sql2k