Condividi tramite

Installare i certificati per un'installazione offline di SQL Server Management Studio

SQL Server Management Studio (SSMS) è progettato per essere installato in un computer connesso a Internet, perché l'applicazione e i relativi componenti vengono aggiornati regolarmente. Tuttavia, è possibile distribuire SSMS in un ambiente in cui una connessione Internet funzionante non è disponibile.

Il motore di installazione di SSMS installa solo il contenuto attendibile. Controlla le firme Authenticode del contenuto scaricato e verifica che tutto il contenuto sia attendibile prima di installarlo. Questa verifica protegge l'ambiente dagli attacchi in cui il percorso di download viene compromesso.

Pertanto, l'installazione di SSMS richiede che diversi certificati radice e intermedi standard di Microsoft siano installati e aggiornati nella macchina di un utente. Se il computer è aggiornato con Windows Update, la firma dei certificati in genere è aggiornata. Se il computer è connesso a Internet, durante l'installazione Visual Studio potrebbe aggiornare i certificati in base alle esigenze per verificare le firme dei file. Se il computer è offline, i certificati devono essere aggiornati in un altro modo.

Come installare o aggiornare i certificati quando è offline

Esistono tre opzioni per l'installazione o l'aggiornamento dei certificati in un ambiente offline.

Opzione 1 - Installare manualmente i certificati da una cartella di layout

Quando si crea un layout offline, i certificati necessari vengono scaricati nella cartella Certificati. È possibile installare manualmente i certificati facendo clic con il pulsante destro del mouse su ognuno dei file di certificato, selezionando Installa certificato e quindi facendo clic sulla procedura guidata Gestione certificati. Se viene richiesta una password, lasciarla vuota.

Opzione 2 - Distribuire certificati radice attendibili in un ambiente aziendale

Per le aziende con computer offline che non dispongono dei certificati radice più recenti, un amministratore può usare le istruzioni nella pagina Configura radici attendibili e certificati non consentiti per aggiornarli.

Opzione 3 - Installare i certificati come parte di una distribuzione con script di SSMS

Se si esegue lo script della distribuzione di SSMS in un ambiente offline nelle workstation client, è possibile seguire questa procedura:

  1. Copiare lo strumento gestione certificati (certmgr.exe) nella cartella di layout. Certmgr.exe non è incluso come parte di Windows, ma è disponibile come parte di Windows SDK.

  2. Creare un file batch con i comandi seguenti:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    In alternativa, creare un file batch che usa certutil.exe, fornito con Windows, con i comandi seguenti:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Distribuire il file batch nel client. Questo comando deve essere eseguito da un processo con privilegi elevati.

Convalidare un certificato per le installazioni offline

L'installazione di SSMS in un computer offline può richiedere un certificato valido. Se si tenta di installare SSMS in un computer offline usando un layout e il programma di installazione viene chiuso senza eccezioni, potrebbe essere dovuto a un certificato non valido. Passare alla %TEMP% cartella e aprire il file del programma di avvio automatico più recente denominato dd_bootstrapper_yyyyMMddHHmmss.log. I messaggi seguenti indicano che l'installazione non riesce a causa di un certificato non valido:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Per assicurarsi che l'installazione venga completata correttamente, seguire questa procedura:

  1. In un computer con connessione Internet scaricare il certificato PCA 2024 per la firma del codice di Microsoft Windows.
  2. Spostare il file .crt nel computer offline.
  3. Dal computer offline fare clic con il pulsante destro del mouse sul file con estensione crt e scegliere Installa certificato.
  4. Selezionare Macchina Locale come Posizione di archiviazione e quindi Avanti.
  5. Mantieni Seleziona automaticamente l'archivio certificati in base al tipo di certificato, quindi seleziona Avanti.
  6. Selezionare Fine.
  7. Viene visualizzato il prompt. L'importazione ha avuto esito positivo.
  8. Installare SSMS usando il layout locale.

Mantenere una macchina offline

Per gli utenti che mantengono i computer offline, ottenere i certificati necessari e distribuirli manualmente.

Quali sono i file dei certificati nella cartella Certificati?

Nella cartella sono presenti tre file Certificates di certificati.

  • manifestRootCertificate.cer Contiene:

    • Certificato root: Autorità di certificazione root Microsoft 2011

  • manifestCounterSignRootCertificate.cer e vs_installer_opc.RootCertificate.cer contengono:

    • Certificato radice: Microsoft Autorità di Certificazione Radice 2010

Il programma di installazione di Visual Studio richiede solo l'installazione dei certificati radice nel sistema.

Perché i certificati della cartella Certificati non vengono installati automaticamente?

Quando una firma viene verificata in un ambiente online, le API Windows vengono usate per scaricare e aggiungere i certificati al sistema. La verifica che il certificato sia attendibile e consentito tramite le impostazioni amministrative si verifica durante questo processo. Questo processo di verifica non può verificarsi nella maggior parte degli ambienti offline. L'installazione manuale dei certificati consente agli amministratori aziendali di assicurarsi che i certificati siano attendibili e soddisfino i criteri di sicurezza dell'organizzazione.

Controllare se i certificati sono già installati

È possibile verificare se i certificati sono già installati usando questi passaggi.

  1. Eseguire mmc.exe.
  2. Selezionare File e quindi Aggiungi/Rimuovi snap-in.
  3. Fare doppio clic su Certificati, selezionare Account computer e quindi selezionare Avanti.
  4. Selezionare Computer locale, quindi Fine.
  5. Espandi Certificati (Computer locale).
  6. Espandi le Autorità di certificazione radice attendibili, poi seleziona Certificati.
  7. Controlla questo elenco per i certificati di root necessari.
  8. Espandere Autorità di certificazione intermedie, quindi selezionare Certificati.
  9. Controllare questo elenco per i certificati intermedi necessari.
  10. Selezionare File e quindi Aggiungi/Rimuovi snap-in.
  11. Fare doppio clic su Certificati, selezionare Account utente personale e quindi selezionare Fine.
  12. Espandi Certificati – Utente corrente.
  13. Espandere Autorità di certificazione intermedie, quindi selezionare Certificati.
  14. Controllare questo elenco per i certificati intermedi necessari.

Se i nomi dei certificati non sono presenti nelle colonne Rilasciato a , è necessario installarli. Se un certificato intermedio si trova solo nell'archivio certificati intermedi dell'utente corrente , è disponibile solo per l'utente connesso. Potrebbe essere necessario installarlo per altri utenti.

Installare SSMS

Dopo aver installato i certificati nel computer client, è possibile installare SSMS dal layout.

Contenuti correlati

  • Last updated on