Teilen über

Installieren von Zertifikaten für eine Offlineinstallation von SQL Server Management Studio

SQL Server Management Studio (SSMS) ist so konzipiert, dass sie auf einem mit dem Internet verbundenen Computer installiert wird, da die Anwendung und die zugehörigen Komponenten regelmäßig aktualisiert werden. Sie können SSMS jedoch in einer Umgebung bereitstellen, in der eine funktionierende Internetverbindung nicht verfügbar ist.

Das SSMS-Setupmodul installiert nur Inhalte, die vertrauenswürdig sind. Es überprüft Authenticode-Signaturen des heruntergeladenen Inhalts und überprüft, ob alle Inhalte vertrauenswürdig sind, bevor sie installiert werden. Diese Überprüfung schützt Ihre Umgebung vor Angriffen, bei denen der Downloadspeicherort kompromittiert ist.

Daher erfordert die SSMS-Einrichtung mehrere Standard Microsoft-Stamm- und Zwischenzertifikate, die auf dem Computer eines Benutzers installiert und auf dem neuesten Stand sein müssen. Wenn der Computer mit Windows Update auf dem neuesten Stand gehalten wird, sind Signaturzertifikate in der Regel auf dem neuesten Stand. Wenn der Computer mit dem Internet verbunden ist, aktualisiert Visual Studio möglicherweise zertifikate bei Bedarf, um Dateisignaturen zu überprüfen. Wenn der Computer offline ist, müssen die Zertifikate auf eine andere Weise aktualisiert werden.

Installieren oder Aktualisieren von Zertifikaten beim Offlinemodus

Es gibt drei Optionen zum Installieren oder Aktualisieren von Zertifikaten in einer Offlineumgebung.

Option 1 : Manuelles Installieren von Zertifikaten aus einem Layoutordner

Wenn Sie ein Offlinelayout erstellen, werden die erforderlichen Zertifikate in den Ordner "Zertifikate" heruntergeladen. Sie können die Zertifikate manuell installieren, indem Sie mit der rechten Maustaste auf die einzelnen Zertifikatdateien klicken, "Zertifikat installieren" auswählen und dann über den Zertifikat-Manager-Assistenten klicken. Wenn Sie nach einem Kennwort gefragt werden, lassen Sie es leer.

Option 2 : Verteilen vertrauenswürdiger Stammzertifikate in einer Unternehmensumgebung

Für Unternehmen mit Offlinecomputern, die nicht über die neuesten Stammzertifikate verfügen, kann ein Administrator die Anweisungen auf der Seite "Vertrauenswürdige Wurzeln konfigurieren" und "Nicht zulässige Zertifikate " verwenden, um sie zu aktualisieren.

Option 3 : Installieren von Zertifikaten als Teil einer skriptgesteuerten Bereitstellung von SSMS

Wenn Sie die Bereitstellung von SSMS in einer Offlineumgebung für Clientarbeitsstationen skripten, können Sie die folgenden Schritte ausführen:

  1. Kopieren Sie das Zertifikat-Manager-Tool (certmgr.exe) in den Layoutordner. Certmgr.exe ist nicht teil von Windows enthalten, ist aber als Teil des Windows SDK verfügbar.

  2. Erstellen Sie eine Batchdatei mit den folgenden Befehlen:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    Erstellen Sie alternativ eine Batchdatei, die certutil.exeverwendet, die mit Windows ausgeliefert wird, mit den folgenden Befehlen:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Stellen Sie die Batchdatei auf dem Client bereit. Dieser Befehl sollte von einem Prozess mit erhöhten Rechten ausgeführt werden.

Überprüfen eines Zertifikats für Offlineinstallationen

Das Installieren von SSMS auf einem Offlinecomputer kann ein gültiges Zertifikat erfordern. Wenn Sie versuchen, SSMS auf einem Offlinecomputer mithilfe eines Layouts zu installieren und das Installationsprogramm ohne Ausnahme beendet wird, liegt es möglicherweise an einem ungültigen Zertifikat. Wechseln Sie zum %TEMP% Ordner, und öffnen Sie die neueste Bootstrapper-Datei mit dem Namen dd_bootstrapper_yyyyMMddHHmmss.log. Die folgenden Meldungen deuten darauf hin, dass die Installation aufgrund eines ungültigen Zertifikats fehlschlägt:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Installation erfolgreich abgeschlossen ist:

  1. Laden Sie auf einem Computer mit Internetverbindung das Microsoft Windows-Codesignatur-PCA 2024-Zertifikat herunter.
  2. Verschieben Sie die CRT-Datei auf den Offlinecomputer.
  3. Klicken Sie auf dem Offlinecomputer mit der rechten Maustaste auf die CRT-Datei, und wählen Sie "Zertifikat installieren" aus.
  4. Wählen Sie "Lokaler Computer " als Speicherort und dann "Weiter" aus.
  5. Wählen Sie den Zertifikatspeicher automatisch basierend auf dem Zertifikattyp aus, und wählen Sie dann "Weiter" aus.
  6. Wählen Sie "Fertig stellen" aus.
  7. Die Eingabeaufforderung wird angezeigt, der Import war erfolgreich.
  8. Installieren Sie SSMS mithilfe des lokalen Layouts.

Verwalten eines Offlinecomputers

Für Benutzer, die Offlinecomputer verwalten, rufen Sie die erforderlichen Zertifikate ab , und stellen Sie sie manuell bereit.

Was sind die Zertifikatdateien im Ordner "Zertifikate"?

Es gibt drei Zertifikatdateien im Certificates Ordner.

  • manifestRootCertificate.cer enthält:

    • Stammzertifikat: Microsoft-Stammzertifizierungsstelle 2011

  • manifestCounterSignRootCertificate.cer und vs_installer_opc.RootCertificate.cer enthalten:

    • Stammzertifikat: Microsoft-Stammzertifizierungsstelle 2010

Für den Visual Studio Installer müssen nur die Stammzertifikate auf dem System installiert sein.

Warum werden die Zertifikate aus dem Ordner "Zertifikate" nicht automatisch installiert?

Wenn eine Signatur in einer Onlineumgebung überprüft wird, werden Windows-APIs zum Herunterladen und Hinzufügen der Zertifikate zum System verwendet. Im Verlauf dieses Vorgangs wird mithilfe administrativer Einstellungen überprüft, ob das Zertifikat vertrauenswürdig und zulässig ist. Dieser Überprüfungsprozess kann in den meisten Offlineumgebungen nicht ausgeführt werden. Durch die manuelle Installation der Zertifikate können Unternehmensadministratoren sicherstellen, dass die Zertifikate vertrauenswürdig sind und die Sicherheitsrichtlinie ihrer Organisation erfüllen.

Überprüfen, ob Zertifikate bereits installiert sind

Anhand dieser Schritte können Sie überprüfen, ob die Zertifikate bereits installiert sind.

  1. Führen Sie mmc.exeaus.
  2. Wählen Sie "Datei" und dann " Snap-In hinzufügen/entfernen" aus.
  3. Doppelklicken Sie auf Zertifikate, wählen Sie "Computerkonto" aus, und wählen Sie dann "Weiter" aus.
  4. Wählen Sie "Lokaler Computer" und dann "Fertig stellen" aus.
  5. Erweitern Sie Zertifikate (Lokaler Computer).
  6. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie dann Zertifikate aus.
  7. Überprüfen Sie diese Liste auf die erforderlichen Stammzertifikate.
  8. Erweitern Sie Zwischenzertifizierungsstellen, und wählen Sie dann Zertifikate aus.
  9. Überprüfen Sie diese Liste auf die erforderlichen Zwischenzertifikate.
  10. Wählen Sie "Datei" und dann " Snap-In hinzufügen/entfernen" aus.
  11. Doppelklicken Sie auf Zertifikate, wählen Sie "Mein Benutzerkonto" aus, und wählen Sie dann "Fertig stellen" aus.
  12. Erweitern Sie Zertifikate – Aktueller Benutzer.
  13. Erweitern Sie Zwischenzertifizierungsstellen, und wählen Sie dann Zertifikate aus.
  14. Überprüfen Sie diese Liste auf die erforderlichen Zwischenzertifikate.

Wenn sich die Zertifikatnamen nicht in den Spalten " Ausgestellt an " befinden, müssen sie installiert werden. Wenn sich ein Zwischenzertifikat nur im Speicher für aktuelle Benutzer-Zwischenzertifikate befindet , ist es nur für den angemeldeten Benutzer verfügbar. Möglicherweise müssen Sie es für andere Benutzer installieren.

Installieren von SSMS

Nachdem Sie die Zertifikate auf dem Clientcomputer installiert haben, können Sie SSMS über das Layout installieren.

Verwandte Inhalte

  • Last updated on