Поделиться через

Установка сертификатов для автономной установки SQL Server Management Studio

Среда SQL Server Management Studio (SSMS) предназначена для установки на подключенном к Интернету компьютере, так как приложение и его компоненты регулярно обновляются. Однако вы можете развернуть SSMS в среде, где рабочее подключение к Интернету недоступно.

Модуль установки SSMS устанавливает только доверенное содержимое. Он проверяет подписи Authenticode загружаемого содержимого и проверяет, является ли все содержимое доверенным перед установкой. Эта проверка обеспечивает безопасность среды от атак, в которых скомпрометировано место загрузки.

Поэтому для установки SSMS на компьютере пользователя требуется установить несколько стандартных корневых и промежуточных сертификатов Microsoft, которые должны быть актуальными. Если компьютер своевременно обновляется с помощью службы Windows Update, сертификаты подписи обычно актуальны. Если компьютер подключен к Интернету, во время установки Visual Studio может обновить сертификаты при необходимости для проверки подписей файлов. Если компьютер находится в автономном режиме, сертификаты необходимо обновить другим способом.

Установка или обновление сертификатов в автономном режиме

Существует три варианта установки или обновления сертификатов в автономной среде.

Вариант 1. Установка сертификатов вручную из папки макета

При создании автономного макета необходимые сертификаты загружаются в папку "Сертификаты". Вы можете вручную установить сертификаты, щелкнув правой кнопкой мыши каждый из файлов сертификатов, выбрав "Установить сертификат" и выбрав мастер диспетчера сертификатов. Если запросил пароль, оставьте его пустым.

Вариант 2. Распространение доверенных корневых сертификатов в корпоративной среде

Для предприятий с автономными компьютерами, у которых нет последних корневых сертификатов, администратор может использовать инструкции на странице "Настройка доверенных корней" и "Запрещенные сертификаты" для их обновления.

Вариант 3. Установка сертификатов в рамках сценария развертывания SSMS

Если вы выполняете скрипт развертывания SSMS в автономной среде на клиентских рабочих станциях, выполните следующие действия.

  1. Скопируйте средство диспетчера сертификатов (certmgr.exe) в папку макета. Certmgr.exe не входит в состав Windows, но доступен в составе пакета SDK для Windows.

  2. Создайте пакетный файл со следующими командами:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    Кроме того, создайте пакетный файл, использующий certutil.exe, который поставляется с Windows, с помощью следующих команд:

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Разверните пакетный файл на клиенте. Эта команда должна выполняться из процесса с повышенными привилегиями.

Проверка сертификата для автономных установок

Для установки SSMS на автономном компьютере может потребоваться действительный сертификат. Если вы пытаетесь установить SSMS на автономном компьютере с помощью конфигурации, а установщик завершает работу без исключения, это может быть вызвано недопустимым сертификатом. Перейдите в папку %TEMP% и откройте самый последний загрузочный файл с именем dd_bootstrapper_yyyyMMddHHmmss.log. Следующие сообщения указывают, что установка происходит сбой из-за недействительного сертификата:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Чтобы убедиться, что установка завершена успешно, выполните следующие действия.

  1. На компьютере с подключением к Интернету скачайте сертификат PCA 2024 для подписи кода Microsoft Windows.
  2. Переместите .crt файл на автономный компьютер.
  3. На автономном компьютере щелкните правой кнопкой мыши файл CRT и выберите "Установить сертификат".
  4. Выберите локальный компьютер в качестве расположения магазина, а затем нажмите кнопку "Далее".
  5. Оставьте автоматический выбор хранилища сертификатов на основе типа сертификата, затем выберите Далее.
  6. Нажмите Готово.
  7. Появится запрос, импорт выполнен успешно.
  8. Установите SSMS, используя локальное расположение.

Обслуживание автономного компьютера

Для пользователей, поддерживающих автономные компьютеры, получите необходимые сертификаты и разверните их вручную.

Каковы файлы сертификатов в папке "Сертификаты"?

В папке Certificates есть три файла сертификатов.

  • manifestRootCertificate.cer Содержит:

    • Корневой сертификат: Центр сертификации Майкрософт 2011

  • manifestCounterSignRootCertificate.cer и vs_installer_opc.RootCertificate.cer содержит:

    • Корневой сертификат: Центр сертификации Майкрософт 2010

Установщик Visual Studio требует установки только корневых сертификатов в системе.

Почему сертификаты из папки "Сертификаты" не устанавливаются автоматически?

При проверке подписи в интерактивной среде API Windows используются для скачивания и добавления сертификатов в систему. Проверка того, что сертификат является доверенным и разрешен через административные настройки, выполняется во время этого процесса. Этот процесс проверки не может происходить в большинстве автономных сред. Установка сертификатов вручную позволяет администраторам предприятия гарантировать, что сертификаты являются доверенными и соответствуют политике безопасности своей организации.

Проверьте, установлены ли сертификаты

Вы можете проверить, установлены ли сертификаты с помощью этих действий.

  1. Запустите mmc.exe.
  2. Выберите Файл, а затем выберите Добавить или удалить оснастку.
  3. Дважды щелкните сертификаты, выберите учетную запись компьютера и нажмите кнопку "Далее".
  4. Нажмите кнопку "Локальный компьютер", а затем "Готово".
  5. Разверните сертификатов (локальный компьютер).
  6. Разверните Доверенные Корневые Центры Сертификации, затем выберите Сертификаты.
  7. Проверьте этот список на наличие необходимых корневых сертификатов.
  8. Разверните Промежуточные Центры Сертификации, затем выберите Сертификаты.
  9. Проверьте этот список необходимых промежуточных сертификатов.
  10. Выберите файл и нажмите кнопку "Добавить или удалить оснастку".
  11. Дважды щелкните "Сертификаты", выберите "Моя учетная запись пользователя" и нажмите кнопку "Готово".
  12. Разверните сертификаты — текущий пользователь.
  13. Разверните промежуточные центры сертификации, а затем выберите сертификаты.
  14. Проверьте этот список необходимых промежуточных сертификатов.

Если имена сертификатов не указаны в столбцах Выпущено для, они должны быть установлены. Если промежуточный сертификат находится только в хранилище промежуточных сертификатов текущего пользователя , он доступен только пользователю, вошедшего в систему. Возможно, потребуется установить его для других пользователей.

установка SSMS

После установки сертификатов на клиентском компьютере вы можете установить SSMS из макета.

Связанный контент

  • Last updated on