Partager via

Installer des certificats pour une installation hors connexion de SQL Server Management Studio

SQL Server Management Studio (SSMS) est conçu pour être installé sur une machine connectée à Internet, car l’application et ses composants sont mis à jour régulièrement. Toutefois, vous pouvez déployer SSMS dans un environnement où une connexion Internet opérationnelle n’est pas disponible.

Le moteur d’installation de SSMS installe uniquement le contenu approuvé. Il vérifie les signatures Authenticode du contenu en cours de téléchargement et vérifie que tout le contenu est approuvé avant de l’installer. Cette vérification protège votre environnement contre les attaques où l’emplacement de téléchargement est compromis.

Par conséquent, la configuration de SSMS nécessite l’installation de plusieurs certificats racine et intermédiaires Microsoft standard et up-to-date sur l’ordinateur d’un utilisateur. Si la machine est tenue à jour avec Windows Update, les certificats de signature sont généralement à jour. Si l’ordinateur est connecté à Internet, pendant l’installation, Visual Studio peut actualiser les certificats si nécessaire pour vérifier les signatures de fichier. Si la machine est hors connexion, les certificats doivent être actualisés d’une autre façon.

Comment installer ou actualiser des certificats en mode hors connexion

Il existe trois options pour installer ou mettre à jour des certificats dans un environnement hors connexion.

Option 1 : installer manuellement des certificats à partir d’un dossier de disposition

Lorsque vous créez une disposition hors connexion, les certificats nécessaires sont téléchargés dans le dossier Certificats. Vous pouvez installer manuellement les certificats en cliquant avec le bouton droit sur chacun des fichiers de certificat, en sélectionnant Installer le certificat, puis en cliquant sur l’Assistant Gestionnaire de certificats. Si vous avez demandé un mot de passe, laissez-le vide.

Option 2 : distribuer des certificats racines approuvés dans un environnement d’entreprise

Pour les entreprises disposant de machines hors connexion qui n’ont pas les derniers certificats racines, un administrateur peut utiliser les instructions de la page Configurer les racines approuvées et les certificats non autorisés pour les mettre à jour.

Option 3 - Installer des certificats dans le cadre d’un déploiement scripté de SSMS

Si vous scriptez le déploiement de SSMS dans un environnement hors connexion vers des stations de travail clientes, procédez comme suit :

  1. Copiez l’outil Gestionnaire de certificats (certmgr.exe) dans le dossier de disposition. Certmgr.exe n’est pas inclus dans le cadre de Windows, mais est disponible dans le cadre du Kit de développement logiciel (SDK) Windows.

  2. Créez un fichier de commandes avec les commandes suivantes :

    certmgr.exe -add [layout path]\certificates\manifestRootCertificate.cer -n "Microsoft Root Certificate Authority 2011" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\manifestCounterSignRootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

certmgr.exe -add [layout path]\certificates\vs_installer_opc.RootCertificate.cer -n "Microsoft Root Certificate Authority 2010" -s -r LocalMachine root

    Vous pouvez également créer un fichier de commandes qui utilise certutil.exe, fourni avec Windows, avec les commandes suivantes :

    certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\manifestCounterSignRootCertificate.cer"

certutil.exe -addstore -f "Root" "[layout path]\certificates\vs_installer_opc.RootCertificate.cer"

  3. Déployez le fichier batch sur le client. Cette commande doit s’exécuter dans un processus avec élévation de privilèges.

Valider un certificat pour les installations hors connexion

L’installation de SSMS sur une machine hors connexion peut nécessiter un certificat valide. Si vous essayez d’installer SSMS sur une machine hors connexion à l’aide d’une disposition et que le programme d’installation se termine sans exception, cela peut être dû à un certificat non valide. Accédez au %TEMP% dossier et ouvrez le fichier de programme d’amorçage le plus récent nommé dd_bootstrapper_yyyyMMddHHmmss.log. Les messages suivants indiquent que l’installation échoue en raison d’un certificat non valide :

Certificate is invalid: <YourSSMSFolder>\vs_installer.opc
Error: Unable to verify the certificate: InvalidCertificate
Error 0x80131509: Signature verification failed. Error: Unable to verify the integrity of the installation files: the certificate could not be verified.

Pour vous assurer que l’installation se termine correctement, procédez comme suit :

  1. Sur un ordinateur disposant d’une connexion Internet, téléchargez le certificat PCA de signature de code Microsoft Windows 2024.
  2. Déplacez le fichier .crt vers l’ordinateur hors connexion.
  3. À partir de l’ordinateur hors connexion, cliquez avec le bouton droit sur le fichier .crt, puis sélectionnez Installer le certificat.
  4. Sélectionnez Ordinateur local en tant que lieu de stockage, puis Suivant.
  5. Sélectionnez le magasin de certificats automatiquement en fonction du type de certificat, puis sélectionnez Suivant.
  6. Sélectionnez Terminer.
  7. L’invite s’affiche. L’importation a réussi.
  8. Installez SSMS à l’aide de la disposition locale.

Gérer un ordinateur hors connexion

Pour les utilisateurs qui gèrent des machines hors connexion, obtenez les certificats requis et déployez-les manuellement.

Quels sont les fichiers de certificats dans le dossier Certificats ?

Il existe trois fichiers de certificats dans le Certificates dossier.

  • manifestRootCertificate.cer Contient:

    • Certificat racine : Autorité de certification racine Microsoft 2011

  • manifestCounterSignRootCertificate.cer et vs_installer_opc.RootCertificate.cer contiennent :

    • Certificat racine : Autorité de certification racine Microsoft 2010

La Visual Studio Installer nécessite uniquement que les certificats racine soient installés sur le système.

Pourquoi les certificats du dossier Certificats ne sont-ils pas installés automatiquement ?

Lorsqu’une signature est vérifiée dans un environnement en ligne, les API Windows sont utilisées pour télécharger et ajouter les certificats au système. La vérification que le certificat est approuvé et autorisé via les paramètres d’administration se produit pendant ce processus. Ce processus de vérification ne peut pas se produire dans la plupart des environnements hors connexion. L’installation manuelle des certificats permet aux administrateurs d’entreprise de s’assurer que les certificats sont approuvés et répondent à la stratégie de sécurité de leur organisation.

Vérifier si les certificats sont déjà installés

Vous pouvez vérifier si les certificats sont déjà installés à l’aide de ces étapes.

  1. Exécutez mmc.exe.
  2. Sélectionnez Fichier, puis ajoutez/supprimer le composant logiciel enfichable.
  3. Double-cliquez sur Certificats, sélectionnez Compte d’ordinateur, puis sélectionnez Suivant.
  4. Sélectionnez Ordinateur local, puis Terminer.
  5. Développez Certificats (ordinateur local).
  6. Dépliez Autorités de certification racines approuvées, puis sélectionnez Certificats.
  7. Recherchez les certificats racines nécessaires dans cette liste.
  8. Développez Autorités de certification intermédiaires, puis sélectionnez Certificats.
  9. Vérifiez cette liste pour les certificats intermédiaires requis.
  10. Sélectionnez Fichier, puis Ajouter/Supprimer un module complémentaire.
  11. Double-cliquez sur Certificats, sélectionnez Mon compte d’utilisateur, puis sélectionnez Terminer.
  12. Développez Certificats – Utilisateur actuel.
  13. Développez Autorités de certification intermédiaires, puis sélectionnez Certificats.
  14. Vérifiez cette liste pour les certificats intermédiaires requis.

Si les noms de certificats ne figurent pas dans les colonnes Émis à , ils doivent être installés. Si un certificat intermédiaire se trouve uniquement dans le magasin de certificats intermédiaires de l'utilisateur actuel, il est disponible uniquement pour l'utilisateur actuellement connecté. Vous devrez peut-être l’installer pour d’autres utilisateurs.

Installation de SSMS

Après avoir installé les certificats sur l’ordinateur client, vous êtes prêt à installer SSMS à partir de la configuration.

Contenu connexe

  • Last updated on