Udostępnij przez

Instalowanie certyfikatów na potrzeby instalacji programu SQL Server Management Studio w trybie offline

Program SQL Server Management Studio (SSMS) został zaprojektowany do zainstalowania na komputerze połączonym z Internetem, ponieważ aplikacja i jej składniki są regularnie aktualizowane. Można jednak wdrożyć program SSMS w środowisku, w którym działające połączenie internetowe jest niedostępne.

Aparat instalacyjny programu SSMS instaluje tylko zaufaną zawartość. Sprawdza on sygnatury authenticode pobieranej zawartości i sprawdza, czy cała zawartość jest zaufana przed zainstalowaniem. Ta weryfikacja zapewnia bezpieczeństwo środowiska przed atakami, w których zostanie naruszona lokalizacja pobierania.

W związku z tym konfiguracja programu SSMS wymaga zainstalowania i aktualizacji kilku standardowych certyfikatów głównych i pośrednich firmy Microsoft oraz tego, aby były aktualne na komputerze użytkownika. Jeśli maszyna jest na bieżąco z aktualizacjami Windows, certyfikaty podpisywania są zwykle aktualne. Jeśli komputer jest połączony z Internetem, podczas instalacji program Visual Studio może odświeżyć certyfikaty w razie potrzeby w celu zweryfikowania podpisów plików. Jeśli maszyna jest w trybie offline, certyfikaty muszą zostać odświeżone w inny sposób.

Jak zainstalować lub odświeżyć certyfikaty w trybie offline

Istnieją trzy opcje instalowania lub aktualizowania certyfikatów w środowisku offline.

Opcja 1 — ręczne instalowanie certyfikatów z folderu układu

Podczas tworzenia układu w trybie offline wymagane certyfikaty są pobierane do folderu Certyfikaty. Certyfikaty można zainstalować ręcznie, klikając prawym przyciskiem myszy poszczególne pliki certyfikatów, wybierając polecenie Zainstaluj certyfikat, a następnie przechodząc przez kreator Menedżera certyfikatów. Jeśli zostanie wyświetlony monit o podanie hasła, pozostaw je puste.

Opcja 2 — dystrybuowanie zaufanych certyfikatów głównych w środowisku przedsiębiorstwa

W przypadku przedsiębiorstw z maszynami offline, które nie mają najnowszych certyfikatów głównych, administrator może użyć instrukcji na stronie Konfigurowanie zaufanych certyfikatów głównych i niedozwolonych certyfikatów, aby je zaktualizować.

Opcja 3 — instalowanie certyfikatów w ramach skryptowego wdrożenia programu SSMS

Jeśli wykonujesz skrypty wdrożenia programu SSMS w środowisku offline na stacjach roboczych klienckich, możesz wykonać następujące kroki:

  1. Skopiuj narzędzie Menedżera certyfikatów (certmgr.exe) do folderu layout. Certmgr.exe nie jest uwzględniona w ramach systemu Windows, ale jest dostępna jako część zestawu Windows SDK.

  2. Utwórz plik wsadowy za pomocą następujących poleceń:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    Alternatywnie utwórz plik wsadowy używający certutil.exe, który jest dostarczany z systemem Windows, przy użyciu następujących poleceń:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Wdróż plik wsadowy do klienta. To polecenie powinno zostać uruchomione z procesu z podwyższonym poziomem uprawnień.

Weryfikowanie certyfikatu dla instalacji w trybie offline

Zainstalowanie programu SSMS na maszynie w trybie offline może wymagać prawidłowego certyfikatu. Jeśli spróbujesz zainstalować program SSMS na maszynie w trybie offline przy użyciu układu, a instalator zakończy działanie bez wyjątku, może to być spowodowane nieprawidłowym certyfikatem. Przejdź do %TEMP% folderu i otwórz najnowszy plik programu inicjjącego o nazwie dd_bootstrapper_yyyyMMddHHmmss.log. Następujące komunikaty wskazują, że instalacja kończy się niepowodzeniem z powodu nieprawidłowego certyfikatu:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Aby upewnić się, że instalacja zostanie ukończona pomyślnie, wykonaj następujące kroki:

  1. Na komputerze z połączeniem internetowym pobierz Microsoft Windows Code Signing PCA 2024 certificate.
  2. Przenieś plik crt na maszynę w trybie offline.
  3. Na maszynie w trybie offline kliknij prawym przyciskiem myszy plik crt i wybierz polecenie Zainstaluj certyfikat.
  4. Wybierz pozycję Komputer lokalny w polu Lokalizacja magazynu, a następnie pozycję Dalej.
  5. Zachowaj Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu, a następnie wybierz Dalej.
  6. Wybierz Zakończ
  7. Zostanie wyświetlony monit : Importowanie zakończyło się pomyślnie.
  8. Zainstaluj program SSMS przy użyciu układu lokalnego.

Utrzymanie maszyny w trybie offline

Dla użytkowników utrzymujących maszyny w trybie offline, uzyskaj wymagane certyfikaty i zainstaluj je ręcznie.

Jakie są pliki certyfikatów w folderze Certyfikaty?

W folderze Certificates znajdują się trzy pliki certyfikatów.

  • manifestRootCertificate.cer Contains:

    • Certyfikat główny: główny urząd certyfikacji firmy Microsoft 2011

  • manifestCounterSignRootCertificate.cer i vs_installer_opc.RootCertificate.cer zawierają:

    • Certyfikat główny: główny urząd certyfikacji firmy Microsoft 2010

Instalator programu Visual Studio wymaga zainstalowania w systemie tylko certyfikatów głównych.

Dlaczego certyfikaty z folderu Certyfikaty nie są instalowane automatycznie?

Po zweryfikowaniu podpisu w środowisku online interfejsy API systemu Windows są używane do pobierania i dodawania certyfikatów do systemu. Weryfikacja, czy certyfikat jest zaufany i dozwolony za pośrednictwem ustawień administracyjnych odbywa się w trakcie tego procesu. Ten proces weryfikacji nie może wystąpić w większości środowisk offline. Ręczne instalowanie certyfikatów umożliwia administratorom przedsiębiorstwa zapewnienie, że certyfikaty są zaufane i spełniają zasady zabezpieczeń organizacji.

Sprawdzanie, czy certyfikaty są już zainstalowane

Możesz sprawdzić, czy certyfikaty są już zainstalowane, wykonując te kroki.

  1. Uruchom mmc.exe.
  2. Wybierz pozycję Plik, a następnie wybierz pozycję Dodaj/Usuń przystawkę.
  3. Kliknij dwukrotnie pozycję Certyfikaty, wybierz pozycję Konto komputera, a następnie wybierz przycisk Dalej.
  4. Wybierz pozycję Komputer lokalny, a następnie zakończ.
  5. Rozwiń węzeł Certyfikaty (komputer lokalny).
  6. Rozwiń Zaufane główne jednostki certyfikujące, a następnie wybierz: Certyfikaty.
  7. Sprawdź tę listę pod kątem niezbędnych certyfikatów głównych.
  8. Rozwiń Pośrednie urzędy certyfikacji, a następnie wybierz Certyfikaty.
  9. Sprawdź tę listę wymaganych certyfikatów pośrednich.
  10. Wybierz pozycję Plik, a następnie wybierz pozycję Dodaj/Usuń przystawkę.
  11. Kliknij dwukrotnie pozycję Certyfikaty, wybierz pozycję Moje konto użytkownika, a następnie wybierz pozycję Zakończ.
  12. Rozwiń certyfikaty — bieżący użytkownik.
  13. Rozwiń Pośrednie urzędy certyfikacji, a następnie wybierz Certyfikaty.
  14. Sprawdź tę listę wymaganych certyfikatów pośrednich.

Jeśli nazwy certyfikatów nie są w kolumnach Wystawione do , należy je zainstalować. Jeśli certyfikat pośredni znajduje się tylko w magazynie certyfikatów pośrednich bieżącego użytkownika, jest on dostępny jedynie dla zalogowanego użytkownika. Może być konieczne zainstalowanie go dla innych użytkowników.

Instalowanie programu SSMS

Po zainstalowaniu certyfikatów na komputerze klienckim możesz zainstalować program SSMS z poziomu układu.

Treści powiązane

  • Last updated on