Niepowodzenie weryfikacji certyfikatu

Uwaga 16.

Ten artykuł jest przeznaczony dla osób, które znają wykonywanie i odczytywanie śladów sieci.

Symptomy

Gdy klient nie może zweryfikować certyfikatu serwera, w aplikacji klienckiej zostanie wyświetlony następujący komunikat o błędzie:

System.Data.SqlClient.SqlException:
A connection was successfully established with the server, but then an error occurred during the login process.
(provider: SSL Provider, error: 0 - The certificate chain was issued by an authority that is not trusted.)
---> System.ComponentModel.Win32Exception: The certificate chain was issued by an authority that is not trusted

Przykład śledzenia sieci

Frame  Date and Time        Source IP    Dest IP      Description
-----  -------------------  -----------  -----------  -----------------------------------------------------------------------------------
590    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=CE....S., SrcPort=56277, DstPort=1433, PayloadLen=0,
593    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=.E.A..S., SrcPort=1433, DstPort=56277, PayloadLen=0,
596    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=...A...., SrcPort=56277, DstPort=1433, PayloadLen=0,
599    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TDS:Prelogin, Flags=...AP..., SrcPort=56277, DstPort=1433, PayloadLen=104,
602    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TDS:Response
605    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TLS:TLS Rec Layer-1 HandShake: Client Hello.
614    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=...A...., SrcPort=1433, DstPort=56277, PayloadLen=0,
617    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TLS:TLS Rec Layer-1 HandShake: Server Hello. Certificate. Server Key Exchange. Server Hello Done.
686    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=...A...F, SrcPort=56277, DstPort=1433, PayloadLen=0,
710    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=...A...., SrcPort=1433, DstPort=56277, PayloadLen=0,
713    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=...A...F, SrcPort=1433, DstPort=56277, PayloadLen=0,
719    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=...A...., SrcPort=56277, DstPort=1433, PayloadLen=0,

Przykład śledzenia sieci z komentarzami

Frame  Date and Time        Source IP    Dest IP      Description
-----  -------------------  -----------  -----------  -----------------------------------------------------------------------------------
TCP 3-way handshake establishes a basic TCP connection.

590    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=CE....S., SrcPort=56277, DstPort=1433, PayloadLen=0, 
593    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=.E.A..S., SrcPort=1433, DstPort=56277, PayloadLen=0, 
596    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=...A...., SrcPort=56277, DstPort=1433, PayloadLen=0, 

The PreLogin packet from the client indicates data encryption is required. This also implies the client will try to validate the certificate.

599    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TDS:Prelogin, Flags=...AP..., SrcPort=56277, DstPort=1433, PayloadLen=104,

- Tds: Prelogin
  + PacketHeader: SPID = 0, Size = 104, PacketID = 1, Window = 0
  - PreLoginPacketData:
   - PreloginOptions:
    + PreloginOptionTokens:
    - PreloginOptionData:
     + VersionData:
     - EncryptionData:
        Encryption: ENCRYPT_ON 1 (0x1)    <----- Data Encryption is Requested by the client
     + InstOptData:
     + ThreadIDData:
     + MARSData:
     + TRACEIDLengthData:
     + FederatedLengthData:

602    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TDS:Response

The SSL/TLS handshake results in the server sending a certificate to the client.
For data encryption, the client tries to validate the certificate after receiving frame 617 (Server Hello).

605    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TLS:TLS Rec Layer-1 HandShake: Client Hello.
614    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=...A...., SrcPort=1433, DstPort=56277, PayloadLen=0,
617    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TLS:TLS Rec Layer-1 HandShake: Server Hello. Certificate. Server Key Exchange. Server Hello Done.

- TLS: TLS Rec Layer-1 HandShake: Server Hello. Certificate. Server Key Exchange. Server Hello Done.
  - TlsRecordLayer: TLS Rec Layer-1 HandShake:
     ContentType: HandShake:
   + Version: TLS 1.2
     Length: 847 (0x34F)
   - SSLHandshake: SSL HandShake Server Hello Done(0x0E)
      HandShakeType: ServerHello(0x02)
      Length: 81 (0x51)
    + ServerHello: 0x1
      HandShakeType: Certificate(0x0B)
      Length: 517 (0x205)
    - Cert: 0x1
       CertLength: 514 (0x202)
     - Certificates:
        CertificateLength: 511 (0x1FF)
      + X509Cert: Issuer: SSL_Self_Signed_Fallback, Subject: SSL_Self_Signed_Fallback   <---- this is SQL Server's Self-Generated Certificate
      HandShakeType: Server Key Exchange(0x0C)
      Length: 233 (0xE9)
      ServerKeyExchange: Binary Large Object (233 Bytes)
      HandShakeType: Server Hello Done(0x0E)
      Length: 0 (0x0)

The certificate is an SSL_Self_Signed_Fallback certificate, which means that it cannot be validated.
The client terminates the connection.

686    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=...A...F, SrcPort=56277, DstPort=1433, PayloadLen=0,
710    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=...A...., SrcPort=1433, DstPort=56277, PayloadLen=0,
713    8:34:51 AM 3/9/2022  10.10.10.20  10.10.10.10  TCP:Flags=...A...F, SrcPort=1433, DstPort=56277, PayloadLen=0,
719    8:34:51 AM 3/9/2022  10.10.10.10  10.10.10.20  TCP:Flags=...A...., SrcPort=56277, DstPort=1433, PayloadLen=0,

Uwaga 16.

W tym przykładzie pokazano program SQL Server korzystający z certyfikatu wygenerowanego samodzielnie, ale każdy certyfikat może znajdować się w pakiecie Hello serwera, jeśli nie jest zaufany przez klienta z jakiegoś powodu.

Wyjaśnienie

Sprawdź ślad sieci, aby zrozumieć przepływ komunikacji między klientem a serwerem.

• Ramka 590–599: uzgadnianie TCP i pakiet PreLogin wskazujący, że wymagane jest szyfrowanie danych.
• Ramka 605–617: uzgadnianie PROTOKOŁU TLS z funkcją Server Hello wysyłającą certyfikat serwera.
• Ramka 686- 719: Zakończenie połączenia z powodu niepowodzenia weryfikacji certyfikatu.

Klient żąda szyfrowania danych, co wyzwala walidację certyfikatu serwera. Jednak serwer odpowiada, wysyłając certyfikat z podpisem własnym (SSL_Self_Signed_Fallback), co powoduje niepowodzenie walidacji.

Gdy klient żąda szyfrowania danych (Encrypt=yes lub ) lub Use Encryption for Data=Trueserwer wymaga szyfrowania danych (Force Encryption=Yes tylko dla nowszych sterowników), sterownik klienta próbuje zweryfikować certyfikat serwera.

Uwaga 16.

Jeśli szyfrowanie nie jest wymagane, pakiet PreLogin jest nadal szyfrowany, ale certyfikat nie jest weryfikowany.

Aby zweryfikować certyfikat serwera, magazyn certyfikatów komputera klienta musi zawierać kopię certyfikatu serwera, zaufanego certyfikatu głównego lub zaufanego certyfikatu pośredniego.

W przypadku zakupu certyfikatu od urzędu certyfikacji innej firmy system Windows zazwyczaj jest wstępnie zainstalowany z certyfikatem głównym i nie trzeba nic robić.

Jeśli firma ma urząd certyfikacji, musisz wypchnąć certyfikaty główne lub pośrednie za pośrednictwem zasad grupy lub dodać je ręcznie.

Jeśli masz certyfikat z podpisem własnym, a liczba klientów, których potrzebuje, jest mała, zazwyczaj musisz dodać go ręcznie. Jeśli jednak liczba klientów jest duża, możesz użyć zasad grupy do dystrybucji certyfikatu. Wyeksportuj go z programu SQL Server bez klucza prywatnego na potrzeby zabezpieczeń.

Jeśli program SQL Server nie używa certyfikatu, generuje go dla siebie.

Czynności zapobiegawcze

Krótkoterminowe środki zaradcze: ustawiane TrustServerCertificate=Yes w parametry połączenia aplikacji.

Długoterminowe środki zaradcze: zakup lub wygenerowanie certyfikatu dla serwera.

Więcej informacji

• Wystąpił błąd związany z siecią lub wystąpieniem podczas ustanawiania połączenia z programem SQL Server
• Konfigurowanie aparatu bazy danych programu SQL Server na potrzeby szyfrowania
• Wymagania dotyczące certyfikatu dla serwera SQL Server
• Nawiązywanie połączenia z odbiornikiem grupy dostępności