windowsserver2016安装证书服务下载并信任证书Windows Server 2016操作系统搭建⾃签名CA证书服务器(Microsoft Active Directory 证书服务)
2020-12-10 发表
关注2关注,3492浏览
组⽹及说明
Comware V7安全设备在开启ssl server-policy相关服务时,需要引⽤PKI的证书服务。
通常我们使⽤Windows Server 2016进⾏搭建⾃签名证书服务器。
Windows Server 2016操作系统安装可参考知了案例
配置步骤
1,打开服务器管理器,点击【添加⾓⾊和功能】。
2,以下步骤缺省点击【下⼀步】。
3,服务器⾓⾊需要勾选【Active Directory**证书服务】并点击该项⾃动弹出的【添加功能】,然后继续点击【下⼀步**】。
4,这⾥再勾选【证书颁发机构**Web注册】并点击该项⾃动弹出的【添加功能】,然后以下步骤缺省点击【下⼀步**】。
5,点击【安装】并等待安装完成。
6,在服务器管理器点击右上⾓提⽰,进⾏【配置⽬标服务器上的**Active Directory证书服务】,然后点击【下⼀步**】。
7,⾓⾊服务配置需要将前两个选项【证书颁发机构】和【证书颁发机构**Web注册】同时勾选,然后以下步骤缺省点击【下⼀步**】。
8,这⾥证书有效期建议设置为50年,继续【下⼀步】直到配置完成。
如果申请证书过程中有提⽰"为了完成证书注册,必须将该CA的⽹站配置为使⽤HTTPS⾝份验证":
可以对IE浏览器进⾏如下操作:
接着:继续在【受信任的站点】为准点击【⾃定义级别】,此时会弹出⼀个【安全设置】⼦界⾯,拖动滚动条,到【对未标记为可安全执⾏脚本的ActiveX空间初始化并执⾏脚
本】,将其勾选为【启⽤】,之后点击所有【确认】操作,直到【Internet选项】关闭为⽌。
10,在操作系统【Windows**管理⼯具】->【证书颁发机构**】组件中可以对证书进⾏管理。
⾄此,在Windows Server 2016操作系统中安装⾃签名CA证书服务器已顺利完成。
管理⼯具\证书颁发机构
MMC\添加删除管理单元\证书
连接到远程服务器时,从远程服务器收到的证书由不受信任的证书颁发机构错误
SQL Server
项⽬
此页⾯有帮助吗?
本⽂帮助您解决尝试与加密连接进⾏加密连接时SQL Server。
原始产品版本: SQL Server 原始 KB 编号: 2007728
症状windowsserver能日常用吗
连接到 SQL Server 时,您可能会收到以下错误消息:
已成功与服务器建⽴连接,但在登录过程中发⽣错误。 (:SSL 提供程序,错误:0 - 证书链由不受信任的颁发机构颁发。) (.Net SqlClient 数据提供程序)
此外,系统事件⽇志中还记录了Windows错误消息
Log Name: System
Source: Schannel
Date: 10/13/2020 3:03:31 PM
Event ID: 36882
Task Category: None
Level: Error
Keywords:
User: USERNAME
Computer: COMPUTERNAME
Description:
The certificate received from the remote server was issued by an untrusted certificate authority. Becau
se of this, none of the data contained in the certificate can be validated. The TLS connection request has failed. The attached data contains t 原因
此错误发⽣在您尝试使⽤不可验证的证书进⾏加密SQL Server进⾏加密连接时。在下列情况下可能发⽣此情况:
应⽤场
景服务器端
加密
客户端加
密
证书类型
受信任的根证书颁发机构存储中的证书
颁发机构
1是否在客户端计算机上的"受信任的根证书颁发机构"中 (证书颁发机构未列为受信任颁发机构,您将从不受
信任的源证书颁发机构)
否
2关是SQL Server⾃⽣成证书⾃签名证书不会在此存储中显⽰。
当建⽴到 SQL Server 的加密连接时,安全通道 (Schannel) 通过搜索本地计算机上受信任的根证书颁发机构存储来创建受信任证书颁发机构的列表。在 TLS 握⼿期间,服务器会将其公钥证书发送到客户端。公钥证书的颁发者称为 CA 证书颁发 (颁发) 。客户端必须确保证书颁发机构是客户端信任的证书颁发机构。这是通过提前知道受信任 CA 的公钥实现的。当 Schannel 检测到由不受信任的证书颁发机构颁发的证书(如上述两种情况)时,您将获得"症状"部分
解决⽅案
如果您有意使⽤来⾃不受信任的颁发机构或⾃签名证书来加密与 SQL Server 的连接,可以使⽤下列选项之⼀:
对于⽅案 1:将证书颁发机构添加到启动加密连接的客户端计算机上的受信任的根证书颁发机构存储。为此,请完成"导出服务器证书"和"在客户端计算机上 (CA) 安装根证书颁发机构"这两个过程。
导出服务器证书。
此⽰例使⽤名为的⽂件作为证书⽂件。您必须从服务器获取此证书⽂件。以下步骤说明如何将服务器证书导出到⽂件中:
1. 单击 "开始 ",然后单击"运⾏",然后键⼊MMC。 (MMC 是 Microsoft 管理控制台的缩写。)
2. 在 MMC 中,打开 "证书"。
3. 展开 "个⼈",然后展开"证书"。
4. 右键单击服务器证书,然后选择"所有任务\导出"。
5. 单击 " 下⼀步",移到证书导出向导的欢迎对话框中。
6. 确认选中 "否,不要导出私钥",然后单击"下⼀步 "。
7. 确保 DER 编码的⼆进制 X.509 (。CER) 或 Base64 编码 X.509 (。CER) 选中,然后单击下⼀步。
8. 输⼊导出⽂件名。
9. 单击 "下⼀步",然后单击" 完成 "导出证书。
在客户端计算机上 (CA) 根证书颁发机构
1. 在客户端计算机上启动 MMC 的"证书"管理单元,然后添加"证书"管理单元。
2. 在"证书管理单元"对话框中,选择"计算机帐户",然后选择"下⼀步 "。
3. 在"选择计算机"窗格中,选择"本地计算机: (运⾏此控制台的计算机) ,然后选择"完成 "。
4. 选择 " 确定"关闭"添加或删除管理单元"对话框。
5. 在 MMC 的左侧窗格中,展开"证书 ( 本地计算机) 节点。
6. 展开" 受信任的根证书颁发机构"节点,右键单击"证书"⼦⽂件夹,选择"所有任务", 然后选择"导⼊ "。
7. 在"证书导⼊向导"中的"欢迎 "页上,选择"下⼀ 步"。
8. 在"要导⼊的⽂件"页上,选择"浏览 "。
9. 浏览到 证书⽂件的位置,选择该⽂件,然后选择"打开 "。
10. 在"要导⼊的⽂件"页上,选择"下⼀ 步"。
11. 在"证书存储"页上,接受默认选择,然后选择"下⼀步 "。
12. 在"正在完成证书导⼊向导"页上,选择"完成 "。
对于⽅案 1 和 2:在客户端应⽤程序中将 "信任服务器证书"设置设置为true。
若要详细了解如何这样做,请查看以下主题:
在加密中未经验证SQL Server Native Client。
使⽤适⽤于加密的 Microsoft JDBC 驱动程序连接SQL Server。
对 Sqlclient 使⽤加密。
备注
如果您使⽤的是 SQL Server Management Studio,可以单击"选项"选项卡,并选中"连接属性"选项卡中的"信任服务器证书"选项框。
警告:使⽤⾃签名证书加密的 SSL 连接不提供强安全性。它们易受man-in-the-middle攻击。不应在⽣产环境或连接到 Internet 的服务器上使⽤⾃签名证书来依赖 SSL。如果本⽂前⾯⼏节中讨论的配置是⾮预期的,可以使⽤下列选项之⼀来解决此问题:
配置数据库引擎以根据启⽤到数据库的加密连接中的过程使⽤加密数据库引擎
如果不需要加密:
如果客户端 (有任何) 禁⽤加密设置。
使⽤配置管理器禁⽤SQL Server加密。若要详细了解如何操作,请参阅配置服务器。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论