使用数字签名标识包的源
可以使用数字证书对 Integration Services 进行签名以标识其来源。 使用数字证书对包进行签名后,可以让 Integration Services 在加载包之前先检查数字签名。 若要让 Integration Services 能够检查签名,请在 SQL Server Data Tools (SSDT) 或 dtexec 实用工具 (dtexec.exe) 中设置一个选项,或设置一个可选的注册表值。
使用数字证书对包进行签名
必须首先获取或创建数字证书,才能使用该证书对包进行签名。 获取证书后,即可使用该证书对包进行签名。 有关如何获取证书以及如何使用该证书对包进行签名的详细信息,请参阅 使用数字证书对包签名。
设置选项以检查包的签名
SQL Server Data Tools (SSDT) 和 dtexec 实用工具都提供了用于将 Integration Services 配置为检查签名包的数字签名的选项。 使用 SQL Server Data Tools (SSDT) 还是 dtexec 实用工具取决于你是想检查所有包,还是只想检查特定的包:
若要在设计时加载包之前检查所有包的数字签名,请在 中设置 “加载包时检查数字签名” SQL Server Data Tools (SSDT)选项。 此选项是针对 SQL Server Data Tools (SSDT)中所有包的全局设置。 有关详细信息,请参阅 General Page。
若要检查单个包的数字签名,请在使用 dtexec 实用工具运行包时指定
/VerifyS[igned]选项。 有关详细信息,请参阅 dtexec Utility。
设置注册表值以检查包的签名
Integration Services 还支持可选的注册表值 BlockedSignatureStates。你可以使用该值来管理组织用于加载签名包和未签名包的策略。 如果包未签名、签名无效或不可信,使用该注册表值将不允许加载该包。 有关如何设置此注册表值的详细信息,请参阅 通过设置注册表值实现签名策略。
备注
可选的 BlockedSignatureStates 注册表值可指定比在 SQL Server Data Tools (SSDT) 中或 dtexec 命令行中设置的数字签名选项限制性更强的设置。 在这种情况下,限制性更强的注册表设置将覆盖其他设置。