Sql Server 无法看到我的证书

Question

我需要在外部供应商和我的公司之间安装用于加密（复制）的证书。

我无法获得服务器 FQDN 的第三方证书，因为该网络部分与我们拥有的域不匹配（即我的 FQDN 是 sqlservername.company.root.net，但我们不拥有名为 company 的域。 root.net。）。我们确实拥有 mycompany.com，因此我在证书上获得了 sqlserver.mycompany.com，并且有一个将 sqlserver.mycompany.com 别名为 sqlservername.company.root.net 的 DNS 条目。

我无法使用自行生成的证书，因为供应商需要信任证书颁发机构。

我已购买并安装了证书，但 SQL Server 不会看到它，因为 FQDN 不匹配。

我尝试通过将证书的指纹直接放入注册表来安装它，但是 SQL Server 将无法启动并出现以下错误：

服务器无法加载启动 SSL 连接所需的证书。它返回以下错误：0x8009030e。检查证书以确保它们有效。

无法加载用户指定的证书 [证书哈希(sha1)“xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx”]。服务器将不接受连接。您应该验证证书是否已正确安装。请参阅联机丛书中的“配置 SSL 使用的证书”。

（其中上面的 x 与证书的指纹匹配，不带空格）

TDSSNIClient 初始化失败，错误为 0x80092004，状态代码为 0x80。原因：无法初始化 SSL 支持。找不到对象或属性。

我需要做哪些不同的事情才能使其正常工作？

Answer 1

您需要使用 MMC 在证书存储中安装证书，然后使用 SQL Server 配置管理器将证书链接到 SQL Server 服务。请参阅https://support.microsoft.com/en-us/help/316898/how-to-enable-ssl-encryption-for-an-instance-of-sql-server-by-using-mi

然后，确保运行 SQL Server 服务的服务帐户对该证书具有完全权限。在 MMC 中，右键单击证书，选择“管理私钥”，然后授予对运行 SQL Server 的服务帐户的完全访问权限。

您应该重新启动 SQL Server 以使更改生效。

Answer 2

首先，您必须在 Windows 证书信任库中安装证书。
你这样做了吗？
错误

您应该验证证书
已正确安装

似乎表明您没有执行此操作。
我期望主机名验证是可配置的，但是从这里 MS-SQL2008 r2 中的 SSL 这似乎是一个绝对的要求。
老实说，我不确定您对 DNS 条目所做的技巧是否有效。
看来一些调整适用于集群安装 用于集群安装的 ssl
对于您的情况，您可能应该使用 IP 作为主题名称购买证书，并使用 DNS 解析为您所说的 FQDN。
但当然，这意味着使用静态 IP，而且很可能无论如何也不可行......