Zuletzt geändert von S V am 2024/03/19 17:59
<
Von Version < 4.1 >
bearbeitet von S V
am 2022/06/30 11:27
Auf Version < 5.1 >
bearbeitet von S V
am 2022/06/30 11:31
>
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -22,21 +22,26 @@
22 22  Am einfachsten können Sie ein Zertifikat mit dem nachfolgenden PowerShell Skript anlegen. Hierfür benötigen Sie jedoch Adminrechte:
23 23  
24 24  **Powershell Skript zum Erzeugen des Zertifikats**
25 +{{code language="CSV"}}$dnsname = ([System.Net.Dns]::GetHostByName((hostname)).HostName)
26 +#Create SSL Certificate (replace with PKI function)
27 +New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -subject $Subject  -DnsName $dnsname -FriendlyName SQLServer -NotAfter (Get-Date).AddMonths(24) -KeySpec KeyExchange{{/code}}
25 25  
29 +Sollten Sie einen anderen Weg gehen und Zertifikate aus MakeCert.exe, OpenSSL oder aus einer anderen CA benutzen, müssen Sie jedoch beachten, dass das Zertifikat bestimmte [[Eigenschaften>>https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/enable-encrypted-connections-to-the-database-engine?view=sql-server-2017]] aufweist:
26 26  
27 -|(((
28 -(((
29 -$dnsname = ([System.Net.Dns]::GetHostByName((hostname)).HostName)
30 -)))
31 +* Sowohl CN des Subject als auch in der SAN Erweiterung muss der FQDN des SQL Servers eingetragen sein.
32 +* In der Erweiterung Key Usage muss Digital Signature und Key Encipherment aufgelistet sein.
33 +* In der Erweiterung Enhanced Key Usage muss Server Authentication (1.3.6.1.5.5.7.3.1) aufgelistet sein.
31 31  
32 -(((
33 -#Create SSL Certificate (replace with PKI function)
34 -)))
35 +Das Zertifikat muss inklusive des privaten Schlüssels im Windows Certificate Store //Personal// für Local Machine hinterlegt werden. Zusätzlich dazu muss der Benutzer, unter dem der SQL Server läuft, die Leserechte auf den privaten Schlüssel haben.
35 35  
36 -(((
37 -New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -subject $Subject  -DnsName $dnsname -FriendlyName SQLServer -NotAfter (Get-Date).AddMonths(24) -KeySpec KeyExchange
38 -)))
39 -)))
37 +**SQL Server Dienst Leserechte gewähren**
40 40  
39 +In der Regel läuft der SQL Server Dienst in einem [[virtuellen Account>>https://www.sqlservercentral.com/blogs/sql-server-2012-and-virtual-service-accounts]] und nicht als lokaler Service Account. Der virtuelle Account hat nur wenige Rechte, weshalb dieser nicht ausgenutzt werden kann.
41 41  
42 -Sollten Sie einen anderen Weg gehen und Zertifikate aus MakeCert.exe, OpenSSL oder aus einer anderen CA benutzen, müssen Sie jedoch beachten, dass das Zertifikat bestimmte Eigenschaften
41 +**Account des SQL Server Dienst bestimmen**
42 +
43 +Um den Account des SQL Server Dienst bestimmen zu können, müssen Sie zunächst den SQL Server Configuration Manager öffnen. Anschließend wählen Sie die SQL Server Services aus und öffnen diese. Öffnen Sie die Eigenschaften der SQL Server Instanz. Unter dem Tab Log On ist der genutzte Account Name hinterlegt.
44 +
45 +{{aagon.infobox}}
46 +Im Standard ist als Account Name NT Service\MSSQLSERVER oder NT Service\MSSQL$<Instance Name> hinterlegt.
47 +{{/aagon.infobox}}

Navigation

© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community