共用方式為

安裝 SQL Server Management Studio 離線安裝的憑證

SQL Server Management Studio (SSMS) 設計為安裝在網際網路連線的電腦上,因為應用程式及其元件會定期更新。 不過,您可以在無法使用因特網連線的環境中部署 SSMS。

SSMS 安裝引擎只會安裝受信任的內容。 它會檢查所下載內容的 Authenticode 簽章,並在安裝之前確認所有內容都受信任。 此驗證可確保您的環境免受下載位置遭到入侵的攻擊。

因此,SSMS 安裝程式需要在使用者的電腦上安裝數個標準 Microsoft 根憑證和中繼憑證,並保持最新狀態。 如果電腦使用 Windows Update 保持最新狀態,則簽署憑證通常是最新的。 如果電腦已連線到因特網,在安裝期間,Visual Studio 可能會視需要重新整理憑證,以驗證檔案簽章。 如果機器脫機,則必須以另一種方式重新整理憑證。

如何在離線時安裝或重新整理憑證

在離線環境中安裝或更新憑證有三個選項。

選項 1 - 從設定資料夾手動安裝憑證

當您建立 離線版面配置時,必要的憑證會下載到 [憑證] 資料夾。 您可以手動安裝憑證,方法是以滑鼠右鍵按一下每個憑證檔案,選取 [安裝憑證],然後按一下 [憑證管理員] 精靈。 如果系統要求您輸入密碼,請將密碼保留空白。

選項 2 - 在企業環境中散發受信任的根證書

對於離線電腦沒有最新根憑證的企業,系統管理員可以使用 [設定受信任的根憑證和不允許的憑證 ] 頁面上的指示來更新它們。

選項 3 - 將憑證安裝為 SSMS 腳本部署的一部分

如果您要將離線環境中的 SSMS 部署腳本編寫至用戶端工作站,您可以遵循下列步驟:

  1. 憑證管理員工具 (certmgr.exe) 複製到版面配置資料夾。 Certmgr.exe 未包含在 Windows 中,但可作為 Windows SDK 的一部分使用。

  2. 使用下列指令建立批次處理檔:

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    或者,使用下列命令建立使用 certutil.exe的批次檔,該批次檔案隨附於 Windows :

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. 將批處理檔部署至用戶端。 此命令應該從以管理員權限運行的程序執行。

驗證離線安裝的憑證

在離線電腦上安裝 SSMS 可能需要有效的憑證。 如果您嘗試使用佈局在離線機器上安裝 SSMS,而安裝程式突然結束且沒有任何錯誤訊息,可能是由於憑證無效。 轉到該 %TEMP% 文件夾並打開名為 dd_bootstrapper_yyyyMMddHHmmss.log的最新引導程序文件。 下列訊息指出安裝失敗,因為憑證無效:

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

若要確保安裝順利完成,請遵循下列步驟:

  1. 在具有因特網連線的計算機上,下載 Microsoft Windows 程式代碼簽署 PCA 2024 憑證
  2. 將 .crt 檔案移至離線電腦。
  3. 從離線電腦,以滑鼠右鍵按下 .crt 檔案,然後選取 [ 安裝憑證]。
  4. 選取 [ 本機計算機 ] 作為 [存放位置],然後選取 [ 下一步]。
  5. 保留 根據憑證類型自動選取證書存儲,然後選取 下一步
  6. 選取 完成
  7. 您會看到提示: 匯入成功
  8. 使用本機佈局安裝SSMS。

維護離線電腦

對於維護離線機器的使用者, 請取得所需的憑證 並手動部署。

憑證資料夾中的憑證檔案是哪些?

資料夾中有 Certificates 三個憑證檔案。

  • manifestRootCertificate.cer 包含:

    • 根憑證:Microsoft 根憑證授權單位 2011

  • manifestCounterSignRootCertificate.cervs_installer_opc.RootCertificate.cer 包含:

    • 根憑證:Microsoft 根憑證授權單位 2010

Visual Studio 安裝程式 只需要在系統上安裝根證書。

為什麼憑證資料夾中的憑證未自動安裝?

在在線環境中驗證簽章時,會使用 Windows API 來下載憑證,並將憑證新增至系統。 驗證憑證是否受信任,且能夠透過管理設定在此過程中進行。 此驗證程式無法在大多數離線環境中進行。 手動安裝憑證可讓企業系統管理員確保憑證受到信任,並符合其組織的安全策略。

檢查憑證是否已安裝

您可以使用這些步驟檢查憑證是否已安裝。

  1. 執行 mmc.exe
  2. 選取 [檔案],然後選取 [新增/移除嵌入式管理單元]。
  3. 按兩下 [憑證],選取 [電腦帳戶],然後選取 [ 下一步]。
  4. 選取 本機電腦,然後 完成
  5. 展開 憑證(本機電腦)
  6. 展開 [受信任的根憑證授權單位],然後選取 [憑證]
  7. 請檢查此清單,以確認必要的根證書。
  8. 展開 [中繼憑證授權單位],然後選取 [憑證]。
  9. 請檢查此清單,以取得必要的中繼憑證。
  10. 選取 [檔案],然後選取 [新增/移除嵌入式管理單元]。
  11. 按兩下 [憑證],選取 [ 我的使用者帳戶],然後選取 [完成]。
  12. 展開 憑證 — 目前的使用者
  13. 展開 [中繼憑證授權單位],然後選取 [憑證]。
  14. 請檢查此清單,以取得必要的中繼憑證。

如果憑證名稱不在 [簽發給 ] 資料行中,則必須安裝它們。 如果中繼憑證僅位於 目前使用者中繼憑證 存放區中,則只有登入的使用者才能使用。 您可能需要為其他使用者安裝它。

安裝 SSMS

在用戶端電腦上安裝憑證之後,您就可以從配置安裝 SSMS

相關內容

  • Last updated on