Я пытаюсь заставить SSL-шифрование работать на SQL Server 2005 Express edition Svc Pk 3. Я все перепробовал (работал все выходные), но не вижу пакетов TLS или SSL, когда смотрю на трафик с помощью wirehark.
Я выполнил инструкции в этой КБ http://technet.microsoft.com/en-us/library/ms189067.aspx и несколько других статей базы знаний. Я не могу публиковать все ссылки, так как stackoverflow ограничивает меня одной ссылкой.
Окружающая среда
-SQl Svr 2005 Express Svc Pk 3.
-Windows XP Desktop
описание проблемы
-Я запускаю SQL Svr svc с "локальной системой" в качестве входа в систему (вместо локальной службы, сетевой службы)
-Я купил сертификат SSL на сайте godaddy.com и импортировал его в папку Certificates / personal / Certificates с помощью MMC.
-Я проверил сертификат на наличие всех необходимых компонентов, и он выглядит хорошо - например, закрытый ключ, имя сервера и т. Д.
-Включить принудительное шифрование и выбрать импортированный сертификат с помощью диспетчера конфигурации SQL Server.
-Я также включил FIPS 140-2 из локальной политики безопасности (системная криптография), потому что я хочу в конечном итоге соответствовать FIPS 140-2.
-Я использую Mgmt Studio с установленным флажком "Шифрование соединения".
-Я подключаюсь и в "свойствах подключения" указано, что соединение зашифровано
НО тогда, когда я смотрю на пакетный трафик с помощью Wireshark, я НЕ ВИЖУ никаких пакетов протокола TLS или SSL !!
Чего не хватает??
Вот мой журнал из файла ERRORLOG сервера sql ... Для удобства я удалил временные метки из строк ....
Запись сообщений SQL Server в файл 'C: \ Program Files \ Microsoft SQL Server \ MSSQL.1 \ MSSQL \ LOG \ ERRORLOG'.
Этот экземпляр SQL Server в последний раз сообщил об использовании идентификатора процесса 2860 8 ноября 2010 г., 1:00:27 (локально) 8 ноября 2010 г., 9:00:27 (UTC). Это только информационное сообщение; От пользователя не потребуется никаких действий. Параметры запуска реестра: -d C: \ Program Files \ Microsoft SQL Server \ MSSQL.1 \ MSSQL \ DATA \ master.mdf -e C: \ Program Files \ Microsoft SQL Server \ MSSQL.1 \ MSSQL \ LOG \ ERRORLOG -l C: \ Program Files \ Microsoft SQL Server \ MSSQL.1 \ MSSQL \ DATA \ mastlog.ldf
SQL Server запускается с нормальным приоритетом (= 7). Это только информационное сообщение. От пользователя не потребуется никаких действий.
Обнаружено 2 CPU. Это информационное сообщение; От пользователя не потребуется никаких действий.
Использование динамического распределения блокировок. Первоначальное распределение 2500 блоков Lock и 5000 блоков Lock Owner на узел. Это только информационное сообщение. От пользователя не потребуется никаких действий.
На этом экземпляре SQL Server включено зеркальное отображение базы данных.
Запускаем базу данных master.
Восстановление записывает контрольную точку в базу данных master (1). Это только информационное сообщение. От пользователя не потребуется никаких действий.
Идентификатор трассировки SQL 1 был запущен под именем «sa».
Запускаем базу данных mssqlsystemresource.
Версия сборки базы данных ресурсов - 9.00.4912. Это только информационное сообщение. От пользователя не потребуется никаких действий.
Запускаем базу данных «модель».
Имя сервера - AMITLAPTOP \ SQLEXPRESS. Это только информационное сообщение. От пользователя не потребуется никаких действий.
Запускаем базу данных msdb.
Сертификат успешно загружен для шифрования.
Сервер прослушивает ['any' 1772].
Поставщик локального подключения к серверу готов принять подключение на [\. \ Pipe \ SQLLocal \ SQLEXPRESS].
Провайдер локального подключения к серверу готов принять подключение на [\. \ Pipe \ MSSQL $ SQLEXPRESS \ sql \ query].
Поддержка выделенного административного соединения не была запущена, потому что она недоступна в этом выпуске SQL Server. Это только информационное сообщение. От пользователя не потребуется никаких действий.
Очистка базы данных tempdb.
Запускаем базу данных tempdb.
Восстановление завершено. Это только информационное сообщение. От пользователя не потребуется никаких действий.
Транспортный протокол компонента Service Broker отключен или не настроен.
Транспортный протокол зеркального отображения базы данных отключен или не настроен.
Менеджер Service Broker запущен.
Библиотеке сетевого интерфейса SQL не удалось зарегистрировать имя участника-службы (SPN) для службы SQL Server. Ошибка: 0x54b, состояние: 3. Отказ зарегистрировать SPN может привести к тому, что встроенная проверка подлинности вернется к NTLM вместо Kerberos. Это информационное сообщение. Дальнейшие действия требуются только в том случае, если проверка подлинности Kerberos требуется политиками проверки подлинности.
Теперь SQL Server готов для клиентских подключений. Это информационное сообщение; От пользователя не потребуется никаких действий.
Для проверки трафика я использовал утилиту «Microsoft Network Monitor 3.4» вместо wirehark. И эта утилита показывает мне пакеты TLS. Я не уверен, что с wirehark, почему он не показывает мне пакеты TLS? Я собираюсь задать вопрос на их вики. Но пока я предполагаю, что мое шифрование работает.