Sdílet prostřednictvím

Instalace certifikátů pro offline instalaci aplikace SQL Server Management Studio

SQL Server Management Studio (SSMS) je navržený tak, aby se nainstaloval na počítač připojený k internetu, protože aplikace a její komponenty se pravidelně aktualizují. SSMS ale můžete nasadit v prostředí, kde není k dispozici funkční připojení k internetu.

Instalační modul SSMS nainstaluje jenom obsah, který je důvěryhodný. Kontroluje podpisy obsahu, který se stahuje, a ověřuje, že veškerý obsah je před instalací důvěryhodný. Toto ověření chrání vaše prostředí před útoky, u kterých dojde k ohrožení umístění stahování.

Proto instalace SSMS vyžaduje, aby na počítači uživatele bylo nainstalováno a aktualizováno několik standardních kořenových a zprostředkovatelských certifikátů Microsoftu. Pokud je počítač aktuální pomocí služby Windows Update, podpisové certifikáty jsou obvykle aktuální. Pokud je počítač připojený k internetu, může během instalace sady Visual Studio aktualizovat certifikáty podle potřeby k ověření podpisů souborů. Pokud je počítač offline, certifikáty se musí aktualizovat jiným způsobem.

Instalace nebo aktualizace certifikátů v offline režimu

Existují tři možnosti instalace nebo aktualizace certifikátů v offline prostředí.

Možnost 1 – Ruční instalace certifikátů ze složky rozložení

Při vytváření offline rozložení se potřebné certifikáty stáhnou do složky Certifikáty. Certifikáty můžete nainstalovat ručně tak, že kliknete pravým tlačítkem na každý soubor certifikátu, vyberete Nainstalovat certifikát a pak kliknete přes průvodce Správcem certifikátů. Pokud se zobrazí výzva k zadání hesla, nechte ho prázdné.

Možnost 2 – Distribuce důvěryhodných kořenových certifikátů v podnikovém prostředí

Pro podniky s offline počítači, které nemají nejnovější kořenové certifikáty, může správce použít pokyny na stránce Konfigurovat důvěryhodné kořeny a nepovolené certifikáty a aktualizovat je.

Možnost 3 – Instalace certifikátů v rámci skriptovaného nasazení SSMS

Pokud skriptujete nasazení aplikace SSMS v offline prostředí do klientských pracovních stanic, můžete postupovat takto:

  1. Zkopírujte nástroj Správce certifikátů (certmgr.exe) do složky rozložení. Certmgr.exe není součástí Windows, ale je k dispozici jako součást sady Windows SDK.

  2. Vytvořte dávkový soubor s následujícími příkazy:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    Případně vytvořte dávkový soubor, který používá certutil.exe, který se dodává s Windows, s následujícími příkazy:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Nasaďte dávkový soubor do klienta. Tento příkaz by měl být spuštěn z procesu s vyššími oprávněními.

Ověření certifikátu pro offline instalace

Instalace aplikace SSMS na offline počítač může vyžadovat platný certifikát. Pokud se pokusíte nainstalovat SSMS na offline počítač pomocí rozložení a instalační program se ukončí bez výjimky, příčinou může být neplatný certifikát. Přejděte do %TEMP% složky a otevřete nejnovější soubor bootstrapper s názvem dd_bootstrapper_yyyyMMddHHmmss.log. Následující zprávy označují, že instalace selhává kvůli neplatnému certifikátu:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Chcete-li zajistit úspěšné dokončení instalace, postupujte takto:

  1. Na počítači s připojením k internetu stáhněte certifikát Microsoft Windows Code Signing PCA 2024.
  2. Přesuňte soubor .crt do offline počítače.
  3. V offline počítači klikněte pravým tlačítkem na soubor .crt a vyberte Nainstalovat certifikát.
  4. Jako umístění úložiště vyberte místní počítač a pak další.
  5. Ponechte automatický výběr úložiště certifikátů na základě typu certifikátu a pak vyberte Další.
  6. Vyberte Dokončit.
  7. Zobrazí se výzva , import byl úspěšný.
  8. Nainstalujte SSMS pomocí místního rozložení.

Údržba offline počítače

Pro uživatele, kteří udržují offline počítače, získejte požadované certifikáty a nasaďte je ručně.

Jaké jsou soubory certifikátů ve složce Certifikáty?

Ve složce jsou tři soubory Certificates certifikátů.

  • manifestRootCertificate.cer obsahuje:

    • Kořenový certifikát: Microsoft Root Certificate Authority 2011

  • manifestCounterSignRootCertificate.cer a vs_installer_opc.RootCertificate.cer obsahují:

    • Kořenový certifikát: Microsoft Root Certificate Authority 2010

Instalační program sady Visual Studio vyžaduje, aby se v systému nainstalovaly pouze kořenové certifikáty.

Proč se certifikáty ze složky Certifikáty nenainstalují automaticky?

Při ověření podpisu v online prostředí se rozhraní API systému Windows používají ke stažení a přidání certifikátů do systému. Během tohoto procesu probíhá ověření, že certifikát je důvěryhodný a povolený prostřednictvím nastavení správy. Tento proces ověřování nemůže nastat ve většině offline prostředí. Ruční instalace certifikátů umožňuje podnikovým správcům zajistit, aby certifikáty byly důvěryhodné a splňovaly zásady zabezpečení organizace.

Kontrola, jestli už jsou nainstalované certifikáty

Pomocí následujícího postupu můžete zkontrolovat, jestli už jsou certifikáty nainstalované.

  1. Spusťte mmc.exe.
  2. Vyberte Soubor a pak vyberte Přidat nebo odebrat modul snap-in.
  3. Poklikejte na Certifikáty, vyberte Účet počítače a pak vyberte Další.
  4. Vyberte Místní počítač a potom Dokončit.
  5. Rozbalte certifikáty (místní počítač).
  6. Rozbalte důvěryhodné kořenové certifikační autority a pak vyberte Certifikáty.
  7. V tomto seznamu vyhledejte potřebné kořenové certifikáty.
  8. Rozbalte zprostředkující certifikační autority a pak vyberte Certifikáty.
  9. Zkontrolujte tento seznam požadovaných zprostředkujících certifikátů.
  10. Vyberte Soubor a pak vyberte Přidat nebo odebrat modul snap-in.
  11. Poklikejte na Certifikáty, vyberte Můj uživatelský účet a pak vyberte Dokončit.
  12. Rozbalit certifikáty – aktuální uživatel.
  13. Rozbalte zprostředkující certifikační autority a pak vyberte Certifikáty.
  14. Zkontrolujte tento seznam požadovaných zprostředkujících certifikátů.

Pokud názvy certifikátů nejsou ve sloupcích Vystaveno , musí se nainstalovat. Pokud je prostřední certifikát pouze v úložišti prostředních certifikátů aktuálního uživatele, je dostupný pouze přihlášenému uživateli. Možná ho budete muset nainstalovat pro ostatní uživatele.

Instalace aplikace SSMS

Po instalaci certifikátů na klientský počítač budete připraveni nainstalovat SSMS z rozložení.

Související obsah

  • Last updated on