数据库安全性之网络传输安全性.十九

网络传输安全性<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.     安装证书。

2.     申请证书。

3.     启用sql server加密。

4.     信任CA

想要实现网络传输实验环境必须要有两台计算机，所以首先克隆一个计算机出来。我用的是Vmware虚拟机。

出现“欢迎使用克隆虚拟机向导”请点击下一步。

从当前状态克隆一个虚拟机。

选“创建一个完全克隆”虚拟机副本

给虚拟机起一个名称，位置我放到e盘下了。

正在进行克隆虚拟机wei，

等一段时间后，克隆已完成。

因为是克隆的所以计算机名一样，所以启动wei虚拟机把计算机名dc改一个名为wei。

更改计算机名需要重启计算机。点击确定；

计算机启动后，进入数据库。服务器名称要用wei。

计算名是改为wei了，但是数据库服务器里没有改为wei，还是以前的计算机名dc，这怎么办呢？

运行如下命令就可以把服务器名改为当前计算机名：

if  serverproperty('servername')  <>  @@servername 

begin 

           declare  @server  sysname 

           set  @server  =  @@servername 

           exec  sp_dropserver  @server  =  @server 

           set  @server  =  cast(serverproperty('servername')  as  sysname)             

           exec  sp_addserver  @server  =  @server  ,  @local  =  'LOCAL' 

end 

命令看不清的话可以参看下图。

测试，查看一下如下图所示，修改成功。如果没改变的话可以重启动一下数据库服务器。

好两台数据库服务器准备好后我们来安装证书服务。

我们先在wei上登录guo数据库对guo机进行操作，用抓包器来抓一下包。

然后要把guo机上的数据库服务器断开连接，在执行一条查看命令，查看一下users表。在点击执行的时候，同时要打开抓包器。

如下图所示抓包器抓到的是明文，就是刚才执行的命令。

如上图所示，是不是很不安全啊，怎么解决这个问题呢，好办我们用证书不就OK了。接下来在guo机上安装证书。

一.  在guo机上安装证书服务。

Guo机上的ip为192.168.11.1，wei机上的ip为192.168.11.2

在控制面板里添加与删除程序，找到证书服务点击。出现如图所示点击是。

选中证书服务，请点击下一步。

工作组的情况下要安装独立根，域的情况下才能安装企业根。

给证书起个名字为：ITETCA

点击是，暂时停止internet信息服务，然后点击下一步。

在这里放入Windows2003sp1安装光盘。

如下图所示出现证书安装向导，已完成证书安装。

二.申请证书。。

Guo机上的ip为：192.168.11.1

Wei机上的ip为：192.168.11.2

Guo机上申请在浏览里输入192.168.11.1\cretsrv

出现如下画面点击，申请一个证书。

选择申请一个高级证书申请。

选择创建并向CA提交一个申请。

申请一个服务器身份验证证书。CSP：一定要是Microsoft RSA schannel Cryptographic Provider.然后点击提交。

然后在开始菜单程序管理工具里找到证书办法机构打开。

打开后，在挂起的申请中右击挂起的证书在所以任务里点击颁发。

最后在用web浏览器申请证书向导，不过这一次不是申请证书，而是查看挂起的证书申请状态。

在点击服务器身份验证证书申请，

点击安装此证书，进行证书的安装。

点击是进行安装…..

证书安装完成后，我们在查看一下证书是否申请成功，查看的方法有很多中，在这里我们在IE浏览器属性里点击内容下面有一个证书，如下图所示申请证书成功了。

一.  启用sql server加密。

Guo机和wei机都要启动sql server加密。

在开始菜单程序Microsoft SQL Server 2005的配置工具里打开SQL Sserver guration Manager。

在MSSQLSERVER的协议上右击属性里把fprceEncryption改为‘是’。

想让以上操作生效还必须得重新启动sql服务。如下图所示。

四.wei机要信任CA。

Wei机上首先要申请证书，证书为客户端身份验证证书。申请完成后，

在wei机浏览器上打开申请证书向导，点击下载一个CA证书，

点击下载CA证书，然后点击保存。

保存到C盘根目录下，起名为guo.cer。

如下图所示下载完毕。

然后把证书导入到受信任的根证书颁发机构里，如下图出现欢迎使用证书导入向导，请点击下一步。

找到刚才下载的证书，导入。

将证书导入到受信任的根证书颁发机构。

点击完成证书导入向导。

出现以下安全性警告，请点击是。

如下图所示导入成功了..

操作全部完成后，我们来进行测试看看如何，用wei机数据库登陆guo机进行操作。

进入后，运行查看命令，同时打开抓包器，进行抓包。

如下图所示抓到的包已经由明文变成密文了。实验成功。

写完了，可能写的有点不清楚。

转载于:https://blog.51cto.com/guoweishuai/256126