SQL Server 配置管理器的下拉列表中缺少 SSL 证书

Question

我正在尝试配置 SQL Server 2014，以便可以使用 SSL 远程连接到它。服务器上安装了有效的通配符证书，并且证书的域名 (example.com) 与服务器的 FQDN (test.windows-server-test.example.com) 匹配。

问题是在 SQL Server 配置管理器中，证书没有列出，所以我无法选择它。

也就是说，我被困在this MS tutorial 的第 2.e.2 步。

Answer 1

在 cmets 中通信后，我可以假设您的主要问题是您使用的证书的 CN 部分。要让 IIS 服务器成功进行 TLS 通信，没有 SQL Server 那样严格的限制。

Microsoft 要求（请参阅here）证书的名称必须是计算机的完全限定域名 (FQDN)。 这意味着 主题证书的一部分看起来像 CN = test.widows-server-test.example.com，其中 test.widows-server-test.example.com 是 FQDN你的电脑。仅使用 CN = *.example.com 和 Subject Alternative Name 是不够的，其中包含 DNS Name=*.example.com 和 DNS Name=test.widows-server-test.example.com、DNS Name=test1.widows-server-test.example.com、@987654335 @ 等等。这样的证书对于 TLS 来说是可以的，但 SQL Server 会丢弃它。请参阅the article，它描述了关闭的问题。

我建议您创建 CN 等于 SQL Server 的 FQDN 的自签名证书，并验证 SQL Server 配置管理器是否可以看到该证书。

更新：我对进程监视器的问题进行了更多分析，发现注册表中的两个值对于 SQL Server 配置管理器很重要：值 Hostname 和 Domain 下关键

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

如果我将Domain 和Hostname 更改为与证书CN 对应的值，则证书将已显示在SQL Server 配置管理器中。这可能不是所有问题，但它表明 SQL Server 需要更多作为 Web 服务器（例如 IIS）。

更新 2： 我再次详细检查了该问题，我想我确实找到了如何配置您已经拥有的通用 SSL 证书的方法（例如来自Let's Encrypt 的免费 SSL 证书，StartSSL 或其他）。

区分SQL Server 配置管理器 的作用与SQL Server 所需的配置很重要。与 SQL Server 一样，配置管理器属性的证书选项卡有更多硬性限制。我上面只描述了 SQL Server 配置管理器的限制，但是可以直接在注册表中进行配置，以使用 SQL Server 更常见的 SSL/TLS 证书。我将在下面描述如何做到这一点。

您可以在注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL12.SQL2014\MSSQLServer\SuperSocketNetLib 之类的键下执行一项操作，其中MSSQL12.SQL2014 部分在您的情况下可能会有所不同。 SQL Server 配置管理器帮助我们在注册表中设置两个值：ForceEncryption 和Certificate：

Certificate 值是 SHA1 哈希值，可以通过检查证书的属性找到：

或证书的扩展属性，您可以通过使用 certutil.exe -store My 看到：

只需复制“Cert Hash(sha1)”值，删除所有空格并作为Certificate 值的值放置在注册表中。进行设置并重新启动 SQL Server Windows 服务后，将在 C:\Program Files\Microsoft SQL Server\...\MSSQL\Log 目录中的文件 ERRORLOG 中看到类似

2016-04-25 21:44:25.89 服务器证书 [Cert Hash(sha1) "C261A7C38759A5AD96AC258B62A308A26DB525AA"] 加载成功 用于加密。

Answer 2

我想为将来可能会偶然发现我在 SQL 2016 SP2 和故障转移集群中遇到的类似问题的人添加此内容。添加到注册表的证书指纹必须全部大写。

希望这对下一个人有所帮助。

Answer 3

按照已接受答案的更新 2 部分中的步骤操作后，我无法启动 SQL Server 服务，在事件查看器中出现这些错误：

无法加载用户指定的证书 [Cert Hash(sha1) "thumbprint of certificate"]。服务器将不接受连接。您应该验证证书是否已正确安装。请参阅联机丛书中的“配置证书以供 SSL 使用”。

TDSSNIClient 初始化失败，错误为 0x80092004，状态代码为 0x80。原因：无法初始化 SSL 支持。找不到对象或属性。

TDSSNIClient 初始化失败，错误为 0x80092004，状态代码 0x1。原因：初始化因基础结构错误而失败。检查以前的错误。找不到对象或属性。

在 SQL Server 错误日志中出现错误：

服务器无法加载启动 SSL 连接所需的证书。它返回以下错误：0x8009030d。检查证书以确保它们有效。

google了一下，发现a solution：

确保运行 SQL Server 服务的 Windows 帐户（在我的情况下为 NT Service\MSSQLServer）对以下文件夹/注册条目具有完全权限：

1. C:\Program Files\Microsoft SQL Server[您的 Sql Server 实例]\MSSQL\
2. C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys
3. HKLM\System\CurrentControlSet\Services\WinSock2\Parameters

我查了1号NT Service\MSSQLSERVER已经有权限了。

我检查了2号，NT Service\MSSQLSERVER没有权限，我添加了权限。它弹出一个错误，说该文件夹中的一个文件被拒绝操作，但我只是忽略了它（我无能为力）

我没有检查No.3并尝试启动SQL Server，它成功了！！

Answer 4

我在 SSRS 中遇到了类似的问题，其中 microsoft Active Directory CA 颁发的证书在 SSRS 的下拉列表中不可见。经过大量搜索、反复试验，我可以通过点击此链接修复它。

https://docs.microsoft.com/en-us/archive/blogs/sqlserverfaq/can-tls-certificate-be-used-for-sql-server-encryption-on-the-wire

简述如下： 证书的 Subject 属性必须表明公用名 (CN) 与服务器计算机的主机名或 完全限定域名 (FQDN) 相同。

因此，在我们的案例中，我们建议请求证书颁发机构将主题名称更改为 ABC-SQLServer.abc.local（SQL Server 的 FQDN）而不是 abc-corp.abc.com 完成此更改后，我们再次在 MMC 中加载证书，现在我们可以在 SQL Server 配置管理器中看到加载的证书！

希望它可以帮助面临同样问题的人！

Answer 5

即使按照上述操作，我仍然遇到问题。这是我的修复： 在证书 mmc 中右键单击证书所有任务-> 管理私钥。让服务帐户完全控制。就我而言，我使用的是 NT Service\MSSQL$

Answer 6

我使用 SQL Server 域帐户登录到服务器（必须暂时将该帐户添加到本地管理员）并将证书导入 SQL Server 服务帐户的个人文件夹中。重新启动服务器，然后 SQL Server 可以看到证书。希望它可以帮助某人。

Answer 7

另一种故障模式是密钥长度 - SQL 要求的最小密钥长度为 2048。禁用 DH 通道。

Answer 8

我也遇到了从 MMC 复制的问题，如文章 here 中所述。使用 certutil 并将其复制到注册表值中效果很好。