使用 MS SQL 群集作为后端数据库

概述

PAM360 允许您使用 MS SQL 群集作为后端数据库。将 PAM360 配置为使用 MS SQL 群集作为后端的步骤与使用独立 SQL 服务器作为后端数据库的步骤大不相同，因为 PAM360 已配置为仅通过 SSL 连接到 SQL 服务器群集，以确保高级别的安全性。

要使用独立的 SQL 服务器作为后端数据库， SSL 证书使用 SQL 服务器的完全限定 DNS 名称创建，并在本地计算机个人证书存储中导入。在 SQL 服务器配置管理器中，证书配置屏幕中列出了与 SQL 服务器 DNS 名称匹配的证书。但是，在 SQL 服务器群集设置的情况下，此过程将不起作用。

对于 SQL 服务器群集，您需要获取具有故障转移群集实例完全限定 DNS 名称的服务器证书，并安装在故障转移群集中的所有节点上。例如，假设您有一个双节点群集，其节点名为 test1.yourcompany.com 和 test2.yourcompany.com 以及名为 pam360cluster 的 SQL Server 的故障转移群集实例。要将群集与 PAM360 一起使用，您需要获取 pam360cluster.yourcompany.com 并在两个节点上安装证书。

重要提示：建议先在测试设置中尝试这些步骤，并验证一切是否正常。您可以下载PAM360 并尝试使用 MS SQL 群集作为后端。

要使用 MSSQL 始终打开故障转移群集，您需要在 pam360_key.key.key 中添加一个条目，如下所述:

ENCRYPTIONKEY=n2Z(-*zcPioHfYpmrQwrmICiXmiRUbhQ
Masterkey=s4X ）6@ajSXCETRC

您可以在 masterkey.key 文件中找到主加密密钥，该文件位于 <PAM360-Home>conf 目录下。

MS SQL 群集作为后端：步骤摘要

在 SQL Server 中启用 SSL 加密：创建 SSL 证书并将其安装在 Windows 证书存储区
- 生成证书并由第三方 CA （OR）签名
- 创建自签名证书
在运行 SQL 服务器的所有节点中安装服务器证书
在 PAM360 中安装 CA 的根证书/服务器证书
在运行 SQL 服务器的所有节点中启用 SSL 加密
执行 ChangeDB.bat

在 SQL 服务器中启用 SSL 加密

创建 SSL 证书并将其安装在 Windows 证书存储区（在运行 SQL 服务器的计算机上）

在尝试使用 SQL 服务器连接 PAM360 之前，您需要在 SQL Server 中启用 SSL 加密。您可以创建 SSL 证书，由证书颁发机构（CA）签名，也可以自行签名。

选项 1：生成证书并由第三方 CA 签名:

您可以使用 openssl 创建证书，它涉及两个步骤:

生成私钥和
生成证书。

使用以下命令创建证书。

生成私钥

打开根萨 -des3- out 服务器. 键 2048

生成证书请求

使用服务器私钥创建证书请求。输入密钥、通用名称、主机名或 IP 地址的密码短语，当提示时:

打开 sl req - 新 - 密钥服务器. 密钥 - 出服务器.csr

此处，在通用名称的位置，指定 SQL Server群集实例的 FQDN。

生成证书后，您需要由第三方 CA 进行签名。一些著名的 CAs 是威瑞信（ http://verisign.com ）、 Thawte （ http://www.thawte.com ）、 Rapidssl（ http://www.rapidssl.com ）。查看他们的文档/网站，了解提交 CSR 的详细信息，这将涉及向 CA 支付的费用
此过程通常需要几天时间，您将返回已签名的服务器 SSL 证书和 CA的根证书作为.cer 文件
服务器证书必须安装在运行 SQL 服务器的所有节点中。 CA 根证书必须安装在 PAM360 服务器中。

在运行 SQL 服务器的所有节点中安装服务器证书。您可以使用 MMC 进行操作，如下所示

单击"开始运行"（在运行 SQL 服务器的计算机上）打开 MMC 控制台）。在"运行"对话框类型中： MMC
在"控制台"菜单上，单击添加/删除"已连接。单击添加，然后单击证书。再次单击"添加。系统将提示您打开当前用户帐户、服务帐户或计算机帐户的管理程序。选择计算机帐户。
选择证书（本地计算机）个人证书
右键单击证书单击所有任务导入
浏览选择要安装的证书

在 PAM360 中安装 CA 的根证书

复制 CA 的根证书并将其粘贴到<PAM360 Installation Folder>/bin下
从<PAM360 Installation Folder>/bin，执行以下命令：
导入证书.bat < 上文所述粘贴的根证书的名称 >
这会将证书添加到 PAM360 证书存储区。

选项 2：创建自签名证书

如果要创建自签名证书并使用它，则需要在安装 SQL Server 的节点之一中执行以下步骤：

使用证书创建工具 makecert.exe 创建自签名证书，并在运行 SQL Server 的节点之一中安装

从安装 SQL 服务器的节点之一执行以下命令
makecert.exe -r -pe -n "cn=pam360cluster.yourcompany.com"-a sha1-b 01/01/2011-e 01/01/2036-eku 1.3.6.1.5.5.7.3.1 -ss 我的 -sr本地机器 - 天空交换pam360cluster.yourcompany.com.cer

在这里，对于 CN，输入 SQL 服务器群集实例的FQDN替换示例条目pam360cluster.yourcompany.com
上述命令将在本地存储中安装自签名证书。它还会将证书存储在文件 pam360cluster.yourcompany.com.cer 中

导出自签名 .pfx 文件

单击"开始运行"（在运行 SQL 服务器的计算机上）打开 MMC 控制台）。在"运行"对话框类型中： MMC
在"控制台"菜单上，单击添加/删除"已连接。单击"添加"，然后单击"证书"。再次单击"添加。系统将提示您打开当前用户帐户、服务帐户或计算机帐户的管理程序。选择计算机帐户。
选择证书（本地计算机）个人证书
找到刚刚创建的自签名证书，右键单击并导出 .pfx 文件。

在运行 SQL 服务器的所有节点中导入自签名的 .pfx 文件

单击"开始运行"（在运行 SQL 服务器的计算机上）打开 MMC 控制台）。在"运行"对话框类型中： MMC
在"控制台"菜单上，单击 "添加/删除"已连接。单击"添加"，然后单击"证书"。再次单击"添加。系统将提示您打开当前用户帐户、服务帐户或计算机帐户的管理程序。选择计算机帐户。
选择证书（本地计算机）个人证书
右键单击证书单击所有任务导入
浏览选择要安装的导出的 .pfx 文件证书

在 PAM360 中安装服务器证书

复制服务器证书并将其粘贴在 <PAM360 Installation Folder>/bin下
从<PAM360 Installation Folder>/bin目录中，执行以下命令：
导入证书.bat < 服务器证书名称 >（/）(&/)
这会将证书添加到 PAM360 证书存储区。

在 SQL Server 运行的所有节点中启用 SSL 加密

SQL Server 用于加密连接的证书在以下注册表项中指定:

HKEY_LOCAL_MACHINE[软件]微软[微软 SQL 服务器]MSSQL.x[MSSQL服务器]超级袜子网络图书馆]证书

此密钥包含证书的属性，称为指纹，该属性唯一标识服务器中的每个证书。

使用上述步骤创建的证书中的Thumbprint值应在注册表的证书属性中复制和更新。

重要说明：要复制指纹，请按照下面详细步骤进行正确复制:

从指纹中删除 Unicode 字符。您可以通过在记事本中粘贴指纹来做到这一点。

将记事本内容保存为 ANSI 格式的不同文件，这将提示以下对话框，单击"确定"并继续

然后，打开 ANSI 格式文件并删除？文件中的字符
消除指纹中字符之间的空格
保存此指纹到 HKEY_LOCAL_MACHINE [微软] 微软 SQL Server=MSSQL.x[MSSQLServer] 证书属性\。

执行 ChangeDB.bat

完成上述步骤后，您需要在 PAM360 中执行 ChangeDB.bat。请参阅"使用 MSSQL Server作为安装和安装和后端"一节中的步骤 4。有关详细信息的帮助文档的入门章节。


使用 MS SQL 群集作为后端数据库概述 PAM360 允许您使用 MS SQL 群集作为后端数据库。将 PAM360 配置为使用 MS SQL 群集作为后端的步骤与使用独立 SQL 服务器作为后端数据库的步骤大不相同，因为 PAM360 已配置为仅通过 SSL 连接到 SQL 服务器群集，以确保高级别的安全性。要使用独立的 SQL 服务器作为后端数据库， SSL 证书使用 SQL 服务器的完全限定 DNS 名称创建，并在本地计算机个人证书存储中导入。在 SQL 服务器配置管理器中，证书配置屏幕中列出了与 SQL 服务器 DNS 名称匹配的证书。但是，在 SQL 服务器群集设置的情况下，此过程将不起作用。对于 SQL 服务器群集，您需要获取具有故障转移群集实例完全限定 DNS 名称的服务器证书，并安装在故障转移群集中的所有节点上。例如，假设您有一个双节点群集，其节点名为 test1.yourcompany.com 和 test2.yourcompany.com 以及名为 pam360cluster 的 SQL Server 的故障转移群集实例。要将群集与 PAM360 一起使用，您需要获取 pam360cluster.yourcompany.com 并在两个节点上安装证书。重要提示：建议先在测试设置中尝试这些步骤，并验证一切是否正常。您可以下载PAM360 并尝试使用 MS SQL 群集作为后端。要使用 MSSQL 始终打开故障转移群集，您需要在 pam360_key.key.key 中添加一个条目，如下所述: ENCRYPTIONKEY=n2Z(-zcPioHfYpmrQwrmICiXmiRUbhQ Masterkey=s4X ）6@ajSXCETRC 您可以在 masterkey.key 文件中找到主加密密钥，该文件位于 <PAM360-Home>conf 目录下。 MS SQL 群集作为后端：步骤摘要在 SQL Server 中启用 SSL 加密：创建 SSL 证书并将其安装在 Windows 证书存储区生成证书并由第三方 CA （OR）签名创建自签名证书在运行 SQL 服务器的所有节点中安装服务器证书在 PAM360 中安装 CA 的根证书/服务器证书在运行 SQL 服务器的所有节点中启用 SSL 加密执行 ChangeDB.bat 在 SQL 服务器中启用 SSL 加密创建 SSL 证书并将其安装在 Windows 证书存储区（在运行 SQL 服务器的计算机上）在尝试使用 SQL 服务器连接 PAM360 之前，您需要在 SQL Server 中启用 SSL 加密。您可以创建 SSL 证书，由证书颁发机构（CA）签名，也可以自行签名。选项 1：生成证书并由第三方 CA 签名: 您可以使用 openssl 创建证书，它涉及两个步骤: 生成私钥和生成证书。使用以下命令创建证书。生成私钥打开根萨 -des3- out 服务器. 键 2048 生成证书请求使用服务器私钥创建证书请求。输入密钥、通用名称、主机名或 IP 地址的密码短语，当提示时: 打开 sl req - 新 - 密钥服务器. 密钥 - 出服务器.csr 此处，在通用名称的位置，指定 SQL Server群集实例的 FQDN。生成证书后，您需要由第三方 CA 进行签名。一些著名的 CAs 是威瑞信（ http://verisign.com ）、 Thawte （ http://www.thawte.com ）、 Rapidssl（ http://www.rapidssl.com ）。查看他们的文档/网站，了解提交 CSR 的详细信息，这将涉及向 CA 支付的费用此过程通常需要几天时间，您将返回已签名的服务器 SSL 证书和 CA的根证书作为.cer 文件服务器证书必须安装在运行 SQL 服务器的所有节点中。 CA 根证书必须安装在 PAM360 服务器中。在运行 SQL 服务器的所有节点中安装服务器证书。您可以使用 MMC 进行操作，如下所示单击"开始运行"（在运行 SQL 服务器的计算机上）打开 MMC 控制台）。在"运行"对话框类型中： MMC 在"控制台"菜单上，单击添加/删除"已连接。单击添加，然后单击证书。再次单击"添加。系统将提示您打开当前用户帐户、服务帐户或计算机帐户的管理程序。选择计算机帐户。选择证书（本地计算机）个人证书右键单击证书单击所有任务导入浏览选择要安装的证书在 PAM360 中安装 CA 的根证书复制 CA 的根证书并将其粘贴到<PAM360 Installation Folder>/bin下从<PAM360 Installation Folder>/bin，执行以下命令：导入证书.bat < 上文所述粘贴的根证书的名称 > 这会将证书添加到 PAM360 证书存储区。选项 2：创建自签名证书如果要创建自签名证书并使用它，则需要在安装 SQL Server 的节点之一中执行以下步骤：使用证书创建工具 makecert.exe 创建自签名证书，并在运行 SQL Server 的节点之一中安装从安装 SQL 服务器的节点之一执行以下命令 makecert.exe -r -pe -n "cn=pam360cluster.yourcompany.com"-a sha1-b 01/01/2011-e 01/01/2036-eku 1.3.6.1.5.5.7.3.1 -ss 我的 -sr本地机器 - 天空交换pam360cluster.yourcompany.com.cer 在这里，对于 CN，输入 SQL 服务器群集实例的FQDN替换示例条目pam360cluster.yourcompany.com 上述命令将在本地存储中安装自签名证书。它还会将证书存储在文件 pam360cluster.yourcompany.com.cer 中导出自签名 .pfx 文件单击"开始运行"（在运行 SQL 服务器的计算机上）打开 MMC 控制台）。在"运行"对话框类型中： MMC 在"控制台"菜单上，单击添加/删除"已连接。单击"添加"，然后单击"证书"。再次单击"添加。系统将提示您打开当前用户帐户、服务帐户或计算机帐户的管理程序。选择计算机帐户。选择证书（本地计算机）个人证书找到刚刚创建的自签名证书，右键单击并导出 .pfx 文件。在运行 SQL 服务器的所有节点中导入自签名的 .pfx 文件单击"开始运行"（在运行 SQL 服务器的计算机上）打开 MMC 控制台）。在"运行"对话框类型中： MMC 在"控制台"菜单上，单击 "添加/删除"已连接。单击"添加"，然后单击"证书"。再次单击"添加。系统将提示您打开当前用户帐户、服务帐户或计算机帐户的管理程序。选择计算机帐户。选择证书（本地计算机）个人证书右键单击证书单击所有任务导入浏览选择要安装的导出的 .pfx 文件证书在 PAM360 中安装服务器证书复制服务器证书并将其粘贴在 <PAM360 Installation Folder>/bin下从<PAM360 Installation Folder>/bin*目录中，执行以下命令：导入证书.bat < 服务器证书名称 >（/）(&/) 这会将证书添加到 PAM360 证书存储区。在 SQL Server 运行的所有节点中启用 SSL 加密 SQL Server 用于加密连接的证书在以下注册表项中指定: HKEY_LOCAL_MACHINE[软件]微软[微软 SQL 服务器]MSSQL.x[MSSQL服务器]超级袜子网络图书馆]证书此密钥包含证书的属性，称为指纹，该属性唯一标识服务器中的每个证书。使用上述步骤创建的证书中的Thumbprint值应在注册表的证书属性中复制和更新。重要说明：要复制指纹，请按照下面详细步骤进行正确复制: 从指纹中删除 Unicode 字符。您可以通过在记事本中粘贴指纹来做到这一点。将记事本内容保存为 ANSI 格式的不同文件，这将提示以下对话框，单击"确定"并继续然后，打开 ANSI 格式文件并删除？文件中的字符消除指纹中字符之间的空格保存此指纹到 HKEY_LOCAL_MACHINE [微软] 微软 SQL Server=MSSQL.x[MSSQLServer] 证书属性\。执行 ChangeDB.bat 完成上述步骤后，您需要在 PAM360 中执行 ChangeDB.bat。请参阅"使用 MSSQL Server作为安装和安装和后端"一节中的步骤 4。有关详细信息的帮助文档的入门章节。
© 2021， ZOHO 公司，保留所有权利。