数据库安全性之网络传输安全性.十九

网络传输安全性

1.     安装证书。

2.     申请证书。

3.     启用 sql server 加密。

4.     信任 CA

想要实现网络传输实验环境必须要有两台计算机，所以首先克隆一个计算机出来。我用的是 Vmware 虚拟机。

出现“欢迎使用克隆虚拟机向导”请点击下一步。

从当前状态克隆一个虚拟机。

选“创建一个完全克隆”虚拟机副本

给虚拟机起一个名称，位置我放到 e 盘下了。

正在进行克隆虚拟机 wei ，

等一段时间后，克隆已完成。

因为是克隆的所以计算机名一样，所以启动 wei 虚拟机把计算机名 dc 改一个名为 wei 。

更改计算机名需要重启计算机。点击确定；

计算机启动后，进入数据库。服务器名称要用 wei 。

计算名是改为 wei 了，但是数据库服务器里没有改为 wei ，还是以前的计算机名 dc ，这怎么办呢？

运行如下命令就可以把服务器名改为当前计算机名：

if  serverproperty('servername')  <>  @@servername 

begin 

           declare  @server  sysname 

           set  @server  =  @@servername 

           exec  sp_dropserver  @server  =  @server 

           set  @server  =  cast(serverproperty('servername')  as  sysname)             

           exec  sp_addserver  @server  =  @server  ,  @local  =  'LOCAL' 

end 

命令看不清的话可以参看下图。

测试，查看一下如下图所示，修改成功。如果没改变的话可以重启动一下数据库服务器。

好两台数据库服务器准备好后我们来安装证书服务。

我们先在 wei 上登录 guo 数据库对 guo 机进行操作，用抓包器来抓一下包。

然后要把 guo 机上的数据库服务器断开连接，在执行一条查看命令，查看一下 users 表。在点击执行的时候，同时要打开抓包器。

如下图所示抓包器抓到的是明文，就是刚才执行的命令。

如上图所示，是不是很不安全啊，怎么解决这个问题呢，好办我们用证书不就 OK 了。接下来在 guo 机上安装证书。

一.  在 guo 机上安装证书服务。

Guo 机上的 ip 为 192.168.11.1 ， wei 机上的 ip 为 192.168.11.2

在控制面板里添加与删除程序，找到证书服务点击。出现如图所示点击是。

选中证书服务，请点击下一步。

工作组的情况下要安装独立根，域的情况下才能安装企业根。

给证书起个名字为： ITETCA

点击是，暂时停止 internet 信息服务，然后点击下一步。

在这里放入 Windows2003sp1 安装光盘。

如下图所示出现证书安装向导，已完成证书安装。

二 . 申请证书。 。

Guo 机上的 ip 为： 192.168.11.1

Wei 机上的 ip 为： 192.168.11.2

Guo 机上申请在浏览里输入 192.168.11.1\cretsrv

出现如下画面点击，申请一个证书。

选择申请一个高级证书申请。

选择创建并向 CA 提交一个申请。

申请一个服务器身份验证证书。 CSP ：一定要是 Microsoft RSA schannel Cryptographic Provider. 然后点击提交。

然后在开始菜单程序管理工具里找到证书办法机构打开。

打开后，在挂起的申请中右击挂起的证书在所以任务里点击颁发。

最后在用 web 浏览器申请证书向导，不过这一次不是申请证书，而是查看挂起的证书申请状态。

在点击服务器身份验证证书申请，

点击安装此证书，进行证书的安装。

点击是进行安装 …..

证书安装完成后，我们在查看一下证书是否申请成功，查看的方法有很多中，在这里我们在 IE 浏览器属性里点击内容下面有一个证书，如下图所示申请证书成功了。

一.  启用 sql server 加密。

Guo 机和 wei 机都要启动 sql server 加密。

在开始菜单程序 Microsoft SQL Server 2005 的配置工具里打开 SQL Sserver guration Manager 。

在 MSSQLSERVER 的协议上右击属性里把 fprceEncryption 改为‘是’。

想让以上操作生效还必须得重新启动 sql 服务。如下图所示。

四 .wei 机要信任 CA 。

Wei 机上首先要申请证书，证书为客户端身份验证证书。申请完成后，

在 wei 机浏览器上打开申请证书向导，点击下载一个 CA 证书，

点击下载 CA 证书，然后点击保存。

保存到 C 盘根目录下，起名为 guo.cer 。

如下图所示下载完毕。

然后把证书导入到受信任的根证书颁发机构里，如下图出现欢迎使用证书导入向导，请点击下一步。

找到刚才下载的证书，导入。

将证书导入到受信任的根证书颁发机构。

点击完成证书导入向导。

出现以下安全性警告，请点击是。

如下图所示导入成功了 ..

操作全部完成后，我们来进行测试看看如何，用 wei 机数据库登陆 guo 机进行操作。

进入后，运行查看命令，同时打开抓包器，进行抓包。

如下图所示抓到的包已经由明文变成密文了。实验成功。

写完了，可能写的有点不清楚。

本文出自 “帅帅” 博客，转载请与作者联系！