Delen via

Certificaten installeren voor een offline-installatie van SQL Server Management Studio

SQL Server Management Studio (SSMS) is ontworpen om te worden geïnstalleerd op een computer met internetverbinding, omdat de toepassing en de bijbehorende onderdelen regelmatig worden bijgewerkt. U kunt SSMS echter implementeren in een omgeving waarin een werkende internetverbinding niet beschikbaar is.

Met de SSMS-installatie-engine wordt alleen inhoud geïnstalleerd die wordt vertrouwd. Er worden Authenticode-handtekeningen gecontroleerd van de inhoud die wordt gedownload en controleert of alle inhoud wordt vertrouwd voordat u deze installeert. Met deze verificatie blijft uw omgeving veilig tegen aanvallen waarbij de downloadlocatie is aangetast.

Daarom vereist de SSMS-installatie dat verschillende standaard Microsoft-root- en tussencertificaten worden geïnstalleerd en up-to-date zijn op de computer van de gebruiker. Als de computer up-to-date blijft met Windows Update, zijn ondertekeningscertificaten meestal up-to-date. Als de computer is verbonden met internet, worden tijdens de installatie certificaten mogelijk vernieuwd als dat nodig is om bestandshandtekeningen te verifiëren. Als de computer offline is, moeten de certificaten op een andere manier worden vernieuwd.

Certificaten installeren of vernieuwen wanneer u offline bent

Er zijn drie opties voor het installeren of bijwerken van certificaten in een offlineomgeving.

Optie 1: certificaten handmatig installeren vanuit een indelingsmap

Wanneer u een offlineindeling maakt, worden de benodigde certificaten gedownload naar de map Certificaten. U kunt de certificaten handmatig installeren door met de rechtermuisknop op elk van de certificaatbestanden te klikken, Certificaat installeren te selecteren en vervolgens op de wizard Certificaatbeheer te klikken. Als u om een wachtwoord wordt gevraagd, laat u het leeg.

Optie 2: vertrouwde basiscertificaten distribueren in een bedrijfsomgeving

Voor ondernemingen met offlinecomputers die niet over de meest recente basiscertificaten beschikken, kan een beheerder de instructies op de pagina Vertrouwde basiscertificaten en Niet-toegestane certificaten configureren gebruiken om ze bij te werken.

Optie 3: certificaten installeren als onderdeel van een gescripte implementatie van SSMS

Als u de implementatie van SSMS in een offlineomgeving naar clientwerkstations scriptt, kunt u de volgende stappen uitvoeren:

  1. Kopieer het hulpprogramma Certificaatbeheer (certmgr.exe) naar de indelingsmap. Certmgr.exe is niet opgenomen als onderdeel van Windows, maar is beschikbaar als onderdeel van de Windows SDK.

  2. Maak een batchbestand met de volgende opdrachten:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    U kunt ook een batchbestand maken dat gebruikmaakt van certutil.exe, dat wordt geleverd met Windows, met de volgende opdrachten:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Implementeer het batchbestand op de client. Deze opdracht moet worden uitgevoerd vanuit een proces met verhoogde bevoegdheid.

Een certificaat valideren voor offline-installaties

Voor het installeren van SSMS op een offlinecomputer kan een geldig certificaat zijn vereist. Als u SSMS probeert te installeren op een offlinecomputer met behulp van een indeling en het installatieprogramma zonder uitzondering wordt afgesloten, kan dit worden veroorzaakt door een ongeldig certificaat. Ga naar de %TEMP% map en open het meest recente bootstrapper-bestand met de naam dd_bootstrapper_yyyyMMddHHmmss.log. De volgende berichten geven aan dat de installatie mislukt vanwege een ongeldig certificaat:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Voer de volgende stappen uit om ervoor te zorgen dat de installatie is voltooid:

  1. Download op een computer met internetverbinding het Microsoft Windows Code Signing PCA 2024-certificaat.
  2. Verplaats het CRT-bestand naar de offlinecomputer.
  3. Klik op de offlinecomputer met de rechtermuisknop op het CRT-bestand en selecteer Certificaat installeren.
  4. Selecteer Lokale Machine als Opslaglocatie en klik vervolgens op Volgende.
  5. Laat automatisch het certificaatarchief geselecteerd staan op basis van het type certificaat, en selecteer vervolgens Volgende.
  6. Selecteer en voltooi.
  7. U ziet de prompt dat het importeren is geslaagd.
  8. Installeer SSMS met behulp van de lokale indeling.

Een offlinemachine onderhouden

Voor gebruikers die offlinecomputers onderhouden, haalt u de vereiste certificaten op en implementeert u ze handmatig.

Wat zijn de certificatenbestanden in de map Certificaten?

Er bevinden zich drie certificaatbestanden in de Certificates map.

  • manifestRootCertificate.cer Bevat:

    • Basiscertificaat: Microsoft Root Certificate Authority 2011

  • manifestCounterSignRootCertificate.cer en vs_installer_opc.RootCertificate.cer bevatten:

    • Basiscertificaat: Microsoft Root Certificate Authority 2010

Voor het Visual Studio Installer moeten alleen de basiscertificaten op het systeem worden geïnstalleerd.

Waarom worden de certificaten uit de map Certificaten niet automatisch geïnstalleerd?

Wanneer een handtekening wordt geverifieerd in een onlineomgeving, worden Windows-API's gebruikt om de certificaten te downloaden en toe te voegen aan het systeem. Verificatie dat het certificaat wordt vertrouwd en toegestaan via beheerinstellingen vindt plaats tijdens dit proces. Dit verificatieproces kan niet plaatsvinden in de meeste offlineomgevingen. Als u de certificaten handmatig installeert, kunnen ondernemingsbeheerders ervoor zorgen dat de certificaten worden vertrouwd en voldoen aan het beveiligingsbeleid van hun organisatie.

Controleren of certificaten al zijn geïnstalleerd

U kunt controleren of de certificaten al zijn geïnstalleerd met behulp van deze stappen.

  1. Voer mmc.exeuit.
  2. Selecteer Bestand en selecteer dan Snap-in toevoegen/verwijderen.
  3. Dubbelklik op Certificaten, selecteer Computeraccount en Volgende.
  4. Selecteer Lokale computer en vervolgens Voltooien.
  5. Vouw certificaten (lokale computer) uit.
  6. Vouw vertrouwde basiscertificeringsinstanties uit en selecteer Certificaten.
  7. Controleer deze lijst op de benodigde basiscertificaten.
  8. Vouw tussenliggende certificeringsinstanties uit en selecteer Certificaten.
  9. Controleer deze lijst op de vereiste tussenliggende certificaten.
  10. Selecteer Bestand, en daarna Add/Remove Snap-in.
  11. Dubbelklik op Certificaten, selecteer Mijn gebruikersaccount en selecteer Voltooien.
  12. Vouw certificaten uit : huidige gebruiker.
  13. Vouw tussenliggende certificeringsinstanties uit en selecteer Certificaten.
  14. Controleer deze lijst op de vereiste tussenliggende certificaten.

Als de namen van certificaten niet in de kolommen Uitgegeven aan staan, moeten ze worden geïnstalleerd. Als een tussenliggend certificaat zich alleen in het tussenliggende certificaatarchief van de huidige gebruiker bevindt, is het alleen beschikbaar voor de gebruiker die is aangemeld. Mogelijk moet u deze installeren voor andere gebruikers.

SSMS installeren

Nadat u de certificaten op de clientcomputer hebt geïnstalleerd, kunt u SSMS installeren vanuit de indeling.

Verwante inhoud

  • Last updated on