2020-12-10 發表
-
關注2關注 ,3492瀏覽
組網及說明
Comware V7安全設備在開啟ssl server-policy相關服務時,需要引用PKI的證書服務。
通常我們使用Windows Server 2016進行搭建自簽名證書服務器。
Windows Server 2016操作系統安裝可參考知了案例
https://zhiliao.h3c.com/Theme/details/136588
配置步驟
1,打開服務器管理器,點擊【添加角色和功能】。
2,以下步驟缺省點擊【下一步】。
3,服務器角色需要勾選【Active Directory**證書服務】並點擊該項自動彈出的【添加功能】,然后繼續點擊【下一步**】。
4,這里再勾選【證書頒發機構**Web注冊】並點擊該項自動彈出的【添加功能】,然后以下步驟缺省點擊【下一步**】。
5,點擊【安裝】並等待安裝完成。
6,在服務器管理器點擊右上角提示,進行【配置目標服務器上的**Active Directory證書服務】,然后點擊【下一步**】。
7,角色服務配置需要將前兩個選項【證書頒發機構】和【證書頒發機構**Web注冊】同時勾選,然后以下步驟缺省點擊【下一步**】。
8,這里證書有效期建議設置為50年,繼續【下一步】直到配置完成。
9,重啟操作系統后,打開系統本地IE瀏覽器,輸入http://127.0.0.1/certsrv
如果申請證書過程中有提示"為了完成證書注冊,必須將該CA的網站配置為使用HTTPS身份驗證":
可以對IE瀏覽器進行如下操作:
首先:點擊【Internet選項】->點擊【安全】->點擊【受信任的站點】->點擊【站點】,將證書網站地址(如:http://1.0.0.254)【添加】到信任站點中,添加完畢后,點擊【關閉】。
接着:繼續在【受信任的站點】為准點擊【自定義級別】,此時會彈出一個【安全設置】子界面,拖動滾動條,找到【對未標記為可安全執行腳本的ActiveX空間初始化並執行腳本】,將其勾選為【啟用】,之后點擊所有【確認】操作,直到【Internet選項】關閉為止。
10,在操作系統【Windows**管理工具】->【證書頒發機構**】組件中可以對證書進行管理。
至此,在Windows Server 2016操作系統中安裝自簽名CA證書服務器已順利完成。
管理工具\證書頒發機構
MMC\添加刪除管理單元\證書
連接到遠程服務器時,從遠程服務器收到的證書由不受信任的證書頒發機構錯誤SQL Server
-
項目
-
-
-
此頁面有幫助嗎?
本文幫助您解決嘗試與加密連接進行加密連接時SQL Server。
原始產品版本: SQL Server 原始 KB 編號: 2007728
症狀
連接到 SQL Server 時,您可能會收到以下錯誤消息:
已成功與服務器建立連接,但在登錄過程中發生錯誤。 (:SSL 提供程序,錯誤:0 - 證書鏈由不受信任的頒發機構頒發。) (.Net SqlClient 數據提供程序)
此外,系統事件日志中還記錄了Windows錯誤消息
Log Name: System
Source: Schannel
Date: 10/13/2020 3:03:31 PM
Event ID: 36882
Task Category: None
Level: Error
Keywords:
User: USERNAME
Computer: COMPUTERNAME
Description:
The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The TLS connection request has failed. The attached data contains the server certificate.
原因
此錯誤發生在您嘗試使用不可驗證的證書進行加密SQL Server進行加密連接時。 在下列情況下可能發生此情況:
| 應用場景 | 服務器端加密 | 客戶端加密 | 證書類型 | 受信任的根證書頒發機構存儲中的證書頒發機構 |
|---|---|---|---|---|
| 1 | 是 | 否 | 在客戶端計算機上的"受信任的根證書頒發機構"中 (證書頒發機構未列為受信任頒發機構,您將從不受信任的源證書頒發機構) | 否 |
| 2 | 關 | 是 | SQL Server自生成證書 | 自簽名證書不會在此存儲中顯示。 |
當建立到 SQL Server 的加密連接時,安全通道 (Schannel) 通過搜索本地計算機上受信任的根證書頒發機構存儲來創建受信任證書頒發機構的列表。 在 TLS 握手期間,服務器會將其公鑰證書發送到客戶端。 公鑰證書的頒發者稱為 CA 證書頒發 (頒發) 。 客戶端必須確保證書頒發機構是客戶端信任的證書頒發機構。 這是通過提前知道受信任 CA 的公鑰實現的。 當 Schannel 檢測到由不受信任的證書頒發機構頒發的證書(如上述兩種情況)時,您將獲得"症狀"部分
解決方案
如果您有意使用來自不受信任的頒發機構或自簽名證書來加密與 SQL Server 的連接,可以使用下列選項之一:
對於方案 1:將證書頒發機構添加到啟動加密連接的客戶端計算機上的受信任的根證書頒發機構存儲。 為此,請完成"導出服務器證書"和"在客戶端計算機上 (CA) 安裝根證書頒發機構"這兩個過程。
導出服務器證書。
此示例使用名為 caCert.cer 的文件作為證書文件。 您必須從服務器獲取此證書文件。 以下步驟說明如何將服務器證書導出到文件中:
-
單擊 "開始 ", 然后單擊"運行",然后鍵入 MMC。 (MMC 是 Microsoft 管理控制台的縮寫。)
-
在 MMC 中,打開 "證書"。
-
展開 "個人", 然后展開"證書"。
-
右鍵單擊服務器證書,然后選擇"所有 任務\導出"。
-
單擊 " 下一步",移到 證書 導出向導的歡迎對話框中。
-
確認選中 "否,不要導出私鑰",然后單擊"下一步 "。
-
確保 DER 編碼的二進制 X.509 (。CER) 或 Base64 編碼 X.509 (。CER) 選中,然后單擊下一 步。
-
輸入導出文件名。
-
單擊 "下 一步",然后單擊" 完成 "導出證書。
在客戶端計算機上 (CA) 根證書頒發機構
-
在客戶端計算機上啟動 MMC 的"證書"管理單元,然后添加"證書"管理單元。
-
在"證書管理單元"對話框中,選擇"計算機帳戶",然后選擇"下一步 "。
-
在"選擇計算機"窗格中,選擇"本地計算機: (運行此控制台的計算機) ,然后選擇"完成 "。
-
選擇 " 確定"關閉"添加或刪除管理單元"對話框。
-
在 MMC 的左側窗格中,展開"證書 ( 本地計算機) 節點。
-
展開" 受信任的根證書 頒發機構"節點,右鍵單擊"證書"子文件夾,選擇"所有任務", 然后選擇"導入 "。
-
在"證書導入向導"中的"歡迎 "頁上, 選擇"下一 步"。
-
在"要導入的文件"頁上,選擇"瀏覽 "。
-
瀏覽到 caCert.cer 證書文件的位置,選擇該文件,然后選擇"打開 "。
-
在"要導入的文件"頁上,選擇"下一 步"。
-
在"證書存儲"頁上,接受默認選擇,然后選擇"下一步 "。
-
在"正在完成證書 導入向導"頁上 ,選擇"完成 "。
對於方案 1 和 2:在客戶端應用程序中將 "信任服務器證書"設置設置為 true。
若要詳細了解如何這樣做,請查看以下主題:
-
在加密中未經驗證SQL Server Native Client。
-
使用適用於加密的 Microsoft JDBC 驅動程序連接SQL Server。
-
對 Sqlclient 使用加密。
備注
如果您使用的是 SQL Server Management Studio,可以單擊"選項"選項卡,並選中"連接屬性"選項卡中的"信任服務器證書"選項框。
警告: 使用自簽名證書加密的 SSL 連接不提供強安全性。 它們易受 man-in-the-middle 攻擊。 不應在生產環境或連接到 Internet 的服務器上使用自簽名證書來依賴 SSL。
如果本文前面幾節中討論的配置是非預期的,可以使用下列選項之一來解決此問題:
-
配置數據庫引擎以根據啟用到數據庫的加密連接中的過程使用加密數據庫引擎
-
如果不需要加密:
-
如果客戶端 (有任何) 禁用加密設置。
-
-