连接到 SQL Server 时出现“从远程服务器收到的证书是由不受信任的证书颁发机构颁发的”错误
本文可帮助你解决尝试与 SQL Server 建立加密连接时出现的问题。
原始产品版本:SQL Server
原始 KB 数: 2007728
现象
连接到 SQL Server 时,可能会收到以下错误消息:
已成功与服务器建立连接,但在登录过程中发生错误。 (提供程序:SSL 提供程序,错误:0 - 证书链是由不受信任的颁发机构颁发的。(.Net SqlClient 数据提供程序)
此外,Windows 系统事件日志中记录了以下错误消息。
Log Name: System
Source: Schannel
Date: 10/13/2020 3:03:31 PM
Event ID: 36882
Task Category: None
Level: Error
Keywords:
User: USERNAME
Computer: COMPUTERNAME
Description:
The certificate received from the remote server was issued by an untrusted certificate authority. Because of this, none of the data contained in the certificate can be validated. The TLS connection request has failed. The attached data contains the server certificate.
原因
尝试使用不可验证的证书与 SQL Server 建立加密连接时,会发生此错误。 这种情况可能发生在以下情况下:
场景 | 服务器端加密 | 客户端加密 | 证书类型 | 受信任的根证书颁发机构存储中存在的证书颁发机构 |
---|---|---|---|---|
1 | 是 | 否 | 从非受信任的源预配证书(证书颁发机构未在客户端计算机上的受信任根证书颁发机构中列为受信任的颁发机构) | 否 |
2 | 关 | 是 | SQL Server 自生成证书 | 自签名证书不会在此存储中显示。 |
建立到 SQL Server 的加密连接时,安全通道(Schannel)通过在本地计算机上搜索受信任的根证书颁发机构存储来创建受信任的证书颁发机构列表。 在 TLS 握手期间,服务器向客户端发送其公钥证书。 公钥证书的颁发者称为证书颁发机构 (CA)。 客户端必须确保证书颁发机构是客户端信任的证书颁发机构。 这是通过提前了解受信任的证书版本机构的公钥来实现的。 当 Schannel 检测到由不受信任的证书颁发机构颁发的证书(例如在前两种情况下),将收到“症状”部分中列出的错误消息。
解决方法
如果有意使用来自非受信任机构或自签名证书的证书来加密与 SQL Server 的连接,则可以使用以下选项之一:
对于方案 1,将证书颁发机构添加到启动加密连接的客户端计算机上的受信任的根证书颁发机构存储中。 为此,请完成 “导出服务器证书 ”,并在 该序列的后续几个部分中列出的客户端计算机 过程中安装根证书颁发机构(CA)。
导出服务器证书
该示例使用名为 caCert.cer 的文件作为证书文件。 您可以从服务器获得此证书文件。 以下步骤说明如何将服务器证书导出到文件中:
单击“ 开始 ”,然后单击 “运行”,然后键入 MMC。 (MMC 是 Microsoft 管理控制台的首字母缩写词。)
在 MMC 中 ,打开证书。
展开“个人”,然后展开“证书”。
右键单击服务器证书,然后选择“所有任务导出>”。
单击“下一步”以在证书导出向导的欢迎对话框中移动。
确认 “否”,不导出私钥 处于选中状态,然后选择“ 下一步”。
确保 DER 编码二进制 X.509 ()。CER) 或 Base-64 编码的 X.509 (.选择 CER), 然后单击“ 下一步”。
输入导出文件名。
单击“下一步”,然后单击“完成”导出证书。
在客户端计算机上安装根证书颁发机构 (CA)
在客户端计算机上启动 MMC 的证书管理单元,然后添加证书管理单元。
在 “证书” 管理单元对话框中,选择“ 计算机 帐户”,然后选择“ 下一步”。
在 “选择计算机 ”窗格中,选择 “本地计算机:”(运行此控制台的计算机),然后选择“ 完成”。
选择 “确定” 关闭“ 添加或删除管理单元 ”对话框。
在 MMC 的左窗格中,展开“ 证书”(本地计算机) 节点。
展开“受信任的根证书颁发机构”节点,右键单击“证书”子文件夹,选择“所有任务”,然后选择“导入”。
在“证书导入向导”的“欢迎”页上,选择“下一步”。
在 “要导入 的文件”页上,选择“ 浏览”。
浏览到caCert.cer证书文件的位置,选择该文件,然后选择“打开”。
在 “要导入 的文件”页上,选择“ 下一步”。
在 “证书存储 ”页上,接受默认选择,然后选择“ 下一步”。
在 “完成证书导入向导 ”页上,选择“ 完成”。
对于方案 1 和 2,请在客户端应用程序中将 信任服务器证书 设置设置为 true 。
有关如何执行此操作的详细信息,请参阅以下主题:
注意
如果要使用 SQL Server Management Studio 连接到 SQL Server,请在“连接到服务器”窗口中选择“选项”选项卡,然后选择“信任服务器证书”选项。
警告: 使用自签名证书加密的 SSL 连接不提供强安全性。 它们容易受到 man-in-the-middle
攻击。 不应依赖 SSL 在生产环境中使用自签名证书或连接到 Internet 的服务器。
如果本文前面部分讨论的配置是意外的,则可以使用以下选项之一来解决此问题:
根据启用与数据库引擎的加密连接中的过程配置数据库引擎以使用加密。
如果不需要加密,则为:
在客户端应用程序中禁用加密设置(如果有)。
使用 SQL Server 配置管理器禁用服务器端加密。 有关如何执行此操作的详细信息,请参阅 “配置服务器”。