启用数据库引擎的加密连接（SQL Server 配置管理器）

本主题介绍如何使用 SQL Server 配置管理器 为数据库引擎指定证书，为 SQL Server 数据库引擎实例启用加密连接。 服务器计算机必须具有提供的证书，客户端计算机必须设置为信任该证书的根颁发机构。 提供是指通过将证书导入 Windows 来安装证书的过程。

必须颁发证书才能进行 服务器身份验证。 证书名称必须为计算机的完全限定域名 (FQDN)。

用户的证书存储在本地计算机上。 若要安装供 SQL Server 使用的证书，必须在与 SQL Server 服务相同的用户帐户下运行SQL Server 配置管理器，除非该服务作为 LocalSystem、NetworkService 或 LocalService 运行，在这种情况下，可以使用管理帐户。

客户端必须能够验证服务器所用证书的所有权。 如果客户端具有对服务器证书进行签名的证书颁发机构所颁发的公钥证书，则不需要进一步的配置。 Microsoft Windows 包含多个证书颁发机构所颁发的公钥证书。 如果服务器证书由公共或私人证书颁发机构进行签名，而客户端没有该机构颁发的公钥证书，则必须安装对服务器证书进行签名的证书颁发机构所颁发的公钥证书。

注意

若要在故障转移群集中使用加密，必须在故障转移群集的所有节点上安装带有虚拟服务器的完全限定 DNS 名称的服务器证书。 例如，如果有一个双节点群集，其中包含名为 test1 的节点。<>贵公司.com和 test2。<你的公司>.com，并且你有一个名为 virtsql 的虚拟服务器，你需要为 virtsql 安装证书。<>贵公司.com这两个节点上。 可以将“ForceEncryption”选项的值设置为“是”。

本主题内容

• 若要启用加密连接，请：

  在服务器上预配（安装）证书

  导出服务器证书

  将服务器配置为接受加密连接

  将客户端配置为请求加密连接

  从 SQL Server Management Studio 加密连接

在服务器中提供（安装）证书

1. 在“开始”菜单上，单击“运行”，然后在“打开”框中，键入MMC并单击“确定”。

2. 在 MMC 控制台的“文件”菜单上，单击“添加/删除管理单元”。

3. 在“添加/删除管理单元”对话框中，单击“添加”。

4. 在“添加独立管理单元”对话框中，单击“证书”，再单击“添加”。

5. 在“证书管理单元”对话框中，单击“计算机帐户”，再单击“完成”。

6. 在“添加独立管理单元”对话框中，单击“关闭”。

7. 在“添加/删除管理单元”对话框中，单击“确定”。

8. 在“证书”管理单元中，依次展开“证书”和“个人”，右键单击“证书”，指向“所有任务”，然后单击“导入”。

9. 完成 证书导入向导，将证书添加到计算机中，然后关闭 MMC 控制台。 有关向计算机添加证书的详细信息，请参阅 Windows 文档。

导出服务器证书

1. 在“证书”管理单元中的“证书” / “个人”文件夹中找到证书，右键单击“证书”，指向“所有任务”，然后单击“导出”。

2. 完成 “证书导出向导”，将证书文件存储在方便的位置。

将服务器配置为接受加密连接

1. 在SQL Server 配置管理器中，展开 SQL Server 网络配置，右键单击服务器实例>的<协议，然后选择“属性”。

2. 在“实例名称>属性”对话框的“证书”选项卡上，从“证书”框的下拉列表中选择所需的证书，然后单击“确定”。<

3. 在 “标志” 选项卡的 “ForceEncryption” 框中，选择 “是”，然后单击 “确定” 关闭该对话框。

4. 重新启动 SQL Server 服务。

将客户端配置为请求加密连接

1. 将原始证书或导出的证书文件复制到客户端计算机。

2. 在客户端计算机上，使用“证书”管理单元来安装根证书或导出的证书文件。

3. 在控制台窗格中，右键单击“SQL Server Native Client 配置”，再单击“属性”。

4. 在 “标志” 选项卡的 “强制协议加密” 框中，单击 “是”。

通过 SQL Server Management Studio 加密连接

1. 在对象资源管理器工具栏上，单击 “连接” ，再单击 “数据库引擎” 。

2. 在 “连接到服务器” 对话框中，填写连接信息，然后单击 “选项” 。

3. 在 “连接属性” 选项卡上，单击 “加密连接”。