Cómo habilitar el cifrado SSL para SQL Server 2000 si tiene un servidor de certificados válido

Id. de artículo: 276553 - Ver los productos a los que se aplica este artículo
Traducción automáticaAdvertencia: Artículo de Traducción Automática, vea la exención de responsabilidad.
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se enumeran los pasos que debe utilizar para habilitar el cifrado de capa de sockets seguros (SSL) para Microsoft SQL Server 2000 si tiene un servidor de certificados válido en su entorno de red. Si ha adquirido los certificados de un proveedor de certificados de terceros, siga las instrucciones proporcionadas por el proveedor. SQL Server 2000 permite las conexiones cifradas a través de todas las bibliotecas de red mediante certificados y cifrado SSL. Puede habilitar el cifrado de SQL Server mediante la biblioteca de red de SuperSocket, Ssnetlib.dll o Dbnetlib.dll

Si utiliza cifrado SSL en un clúster de SQL Server, puede utilizar los mismos procedimientos excepto en que el nombre de dominio completo del servidor virtual de SQL y no el nombre de equipo individuales debe ser emite el certificado. Además, la forma en que Microsoft recomienda utilizar los certificados y es el cifrado SSL en un clúster de SQL Server:
  1. Instalar los certificados en cada nodo del clúster.
  2. Instale la entidad emisora raíz de confianza en cada cliente.
  3. Habilitar la opción Forzar cifrado de protocolo de los equipos cliente mediante la red de cliente utilidad.
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
319349
(http://support.microsoft.com/kb/319349/ )
Error: Activar la opción "Forzar cifrado de protocolo" es irreversible si no hay ningún certificado
Para cifrar la comunicación entre un equipo cliente y un servidor, primero debe decidir si desea que el cifrado de estar por servidor o en una por cada cliente. Tenga en cuenta que hay un actual de SQL Server limitación si habilitar el cifrado en el servidor. Cifrado será de todas las conexiones entrantes. Si habilitar el cifrado en el equipo cliente, todas las conexiones salientes de ese cliente intenta realizar una conexión cifrada a cualquier SQL Server.

Además, cuando se habilita Forzar cifrado de protocolo del servidor, cifra los datos y los inicios de sesión. Sin embargo, no requiere el cliente confíe la misma entidad emisora raíz. Si prefiere que el cliente confíe la misma autoridad raíz, debe utilizar herramienta de red de cliente o la opción de cadena de conexión para forzar el protocolo de cifrado en el cliente. Esto es así por diseño.

SQL Server no se inicia si el certificado es válido o si la cuenta de servicio que se utilizó para iniciar el servicio MSSQLServer no puede encontrar el certificado. Por tanto, Microsoft recomienda que solicite el certificado mientras haya iniciado mediante la misma cuenta de usuario que utilizó para iniciar el servicio MSSQLServer.

Si Servicios de Internet Information Server (IIS) está instalado en el equipo que ejecuta SQL Server, también puede utilizar el Asistente para administración de servicio IIS en el Active seguridad ficha. El certificado debe ser un servidor que se ha emitido para el nombre de dominio completo (FQDN) del servidor. No puede utilizar la dirección IP para el nombre del certificado. Un equipo cliente debe solicitar la conexión con el servidor por el nombre FQDN o NetBIOS del servidor. No puede conectarse al servidor mediante la dirección IP del equipo que ejecuta SQL Server.

Si el equipo tiene varios certificados instalados en el almacén de usuario o en el almacén del equipo, quizás tenga que especificar qué certificado debe utilizarse para SQL Server.

Cree un valor certificados de tipo REG_BINARY en la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Haga clic en el valor de certificado y, a continuación, escriba el valor de propiedad de huella digital del certificado en la columna datos.

Como ejemplo, el registro debe ser similar al siguiente cuando se exportan:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
Si esta clave del registro se establece en 0 en el equipo, el equipo omite los certificados en el equipo. El equipo que ejecuta SQL Server se inicia pero no leer el certificado en el equipo. Si desea utilizar el cifrado y el equipo sólo tiene un certificado, no necesita esta clave del registro.

La única forma para comprobar que ha realizado correctamente una conexión cifrada es capturar el tráfico entre dos equipos con Microsoft Network Monitor o una herramienta de red Sniffer. Para obtener más información acerca de cómo Microsoft Network Monitor de instalación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
243270
(http://support.microsoft.com/kb/243270/ )
Cómo instalar Monitor de red en Windows 2000

Solicitar e instalar un certificado mediante un servidor de certificados

  1. Realizar una conexión HTTP al servidor de certificados mientras haya iniciado con la misma cuenta que utilizó para iniciar el servicio MSSQLServer. Por ejemplo, puede realizar la siguiente conexión:
    http://mycertserver/certsrv
    (http://mycertserver/certsrv)
    Nota Microsoft recomienda que inicie el servicio MSSQLServer mediante una cuenta de usuario de dominio o una cuenta de usuario local que tiene privilegios mínimos y no la cuenta sistema local.
  2. Seleccione Solicitar un certificado y, a continuación, haga clic en siguiente .
  3. En el Elegir tipo de solicitud: página, haga clic en para seleccionar la solicitud avanzada y, a continuación, haga clic en siguiente .
  4. Seleccione Enviar una solicitud de certificado a esta CA mediante un formulario y, a continuación, haga clic en siguiente .
  5. Escriba el nombre de dominio completo del equipo en el cuadro nombre . Haga ping a su equipo para obtener el nombre de dominio completo si no está seguro de qué es.
  6. En la sección Propósito planteado , cambie la selección para certificados de autenticación de servidor utilizando la lista, cuadro de lista desplegable de la autenticación de cliente certificados. De una entidad de certificación empresariales se elige una plantilla.
  7. Haga clic en la opción almacenar certificado en el almacén de certificados equipo local.
  8. Deje todos los demás elementos como el valor predeterminado. Haga clic en Enviar .
  9. La última página presenta un hipervínculo de certificado para la instalación . Haga clic en instalar este certificado .
Volver al principio | Enviar comentarios
Para comprobar que la instalación del certificado es correcta, utilice cualquiera los certificados de MMC complemento para comprobar los certificados o utilizar la herramienta CertUtil.exe que está instalada en el servidor de certificados para enumerar los certificados. Para cargar el complemento MMC certificados, siga estos pasos:
  1. Para abrir la consola de MMC, haga clic en Inicio y, a continuación, haga clic en Ejecutar .
  2. En el cuadro de diálogo Ejecutar , escriba mmc y, a continuación, haga clic en Aceptar .
  3. En el menú consola , haga clic en Agregar o quitar complemento .
  4. Haga clic en Agregar y, a continuación, haga clic en certificados .
  5. Haga clic en Agregar .

    Pedirá que abra el complemento para la cuenta de usuario actual, para la cuenta de servicio o para la cuenta de equipo.
  6. Haga clic en la cuenta de equipo .
  7. Haga clic en equipo local y, a continuación, haga clic en Finalizar
  8. Haga clic en Cerrar .
  9. Haga clic en Aceptar .

    Los certificados instalados se encuentran en la carpeta certificados en el contenedor personal .
Haga doble clic en el certificado y, a continuación, asegúrese de que los siguientes son verdaderas:
  • Una clave privada correspondiente a este certificado.
  • El nombre de sujeto del certificado es igual que el FQDN del equipo.
  • La finalidad prevista del certificado es para la autenticación de servidor.
  • La ruta de certificado tiene una cadena válida a la entidad emisora raíz.

Habilitar el cifrado SSL en el servidor SQL Server

Una vez instalado el certificado en el servidor, puede habilitar el cifrado SSL; para ello, siga estos pasos:
  1. Utilice la herramienta de red de SQL Server y haga clic en casilla de verificación Forzar cifrado de protocolo .
  2. Detener y, a continuación, reinicie el servicio MSSQLServer para la instancia predeterminada o la instancia con nombre.
  3. Utilice el registro de error de SQL Server para comprobar que SQL Server no informó de errores cuando inicia.

Habilitar el cifrado SSL para un cliente específico

Si desea habilitar el cifrado SSL globalmente en el servidor, puede habilitar el cifrado SSL de clientes específicos. No habilite SSL cifrado en el servidor y el cliente, utilice uno o el otro. Si habilita el cifrado SSL en por cada cliente, el equipo cliente debe confiar en el certificado de servidor. El certificado debe existir en el servidor. El equipo cliente no requiere un certificado, pero debe tener el certificado de servidor como una entidad emisora de confianza de certificados raíz. Siga estos pasos para habilitar el cifrado SSL en por cada cliente:
  1. Asegúrese de que deshabilite o desactive la opción Forzar cifrado de protocolo en la herramienta de red del servidor.
  2. Realizar una conexión prueba desde un equipo cliente mediante el Monitor de red o una herramienta de red Sniffer para comprobar que la comunicación entre un equipo cliente y servidor no está cifrada.
  3. Haga clic con el botón secundario en el icono de Internet Explorer que se encuentra en el escritorio en el equipo que ejecuta SQL Server.
  4. Haga clic con el botón secundario del mouse en Propiedades .
  5. Haga clic en la ficha contenido .
  6. Haga clic en certificados .
  7. Haga clic en emisoras raíz de confianza .
  8. Haga clic para seleccionar Entidad emisora de certificados .
  9. Haga clic en Exportar y, a continuación, haga clic en siguiente .
  10. En el cuadro de diálogo Formato de archivo de exportación , haga clic en Cifrado sintaxis estándar de mensajes: PKCS # 7 certificados (. p7b) .
  11. Haga clic para seleccionar la casilla de verificación incluir todos los certificados de la ruta de certificación si es posible .
  12. Seleccione un nombre de archivo para el certificado exportado. Asegúrese de que la ubicación del archivo está en algún lugar que el equipo cliente puede acceso más adelante para importarlo.
  13. Haga clic en siguiente y, a continuación, haga clic en Finalizar .
  14. En el equipo cliente, seleccione el Explorador de Internet, haga clic con el botón secundario del mouse en Propiedades , elija contenido y a continuación, haga clic en certificados .
  15. Haga clic en la ficha de Entidades emisoras de certificados raíz de confianza .
  16. Haga clic en Importar , haga clic en siguiente , haga clic en Examinar y, a continuación, haga clic en cambiar archivos de tipo: PKCS # 7 Certificates(*.p7b) .
  17. Seleccione el certificado que acaba de exportar desde SQL Server y, a continuación, haga clic en Abrir . Haga clic en siguiente .
  18. Haga clic para seleccionar la casilla de verificación Seleccionar automáticamente el almacén de certificados según el tipo de certificado .
  19. Haga clic en para agregar el siguiente certificado al almacén raíz.
  20. Haga clic en siguiente y, a continuación, haga clic en Finalizar .
  21. Se abre un cuadro de diálogo con el texto:
    la importación se realizó .
  22. Compruebe que el certificado aparece bajo la raíz de confianza emisoras y que indica todos los Propósitos planteados .
  23. Haga clic en Ver para comprobar que no se informó de ningún error con el certificado.
  24. Haga clic en la ficha de Ruta de certificación y, a continuación, comprobar el estado certificado para ver si está establecido en Aceptar .
  25. Abrir la herramienta de red de cliente y, a continuación, haga clic en casilla de verificación Forzar cifrado de protocolo .

Probar el cifrado de un cliente

Para probar el cifrado de un cliente, utilice uno de los métodos siguientes:
  • Utilice la herramienta Analizador de consultas.
  • Utilizar cualquier aplicación de ODBC donde puede cambiar la cadena de conexión.

Analizador de consultas

Para probar con la herramienta Analizador de consultas SQL, siga estos pasos:
  1. Utilizar la herramienta de red de cliente SQL Server.
  2. Haga clic para seleccionar la casilla de verificación Forzar cifrado de protocolo .
  3. Conectar con el servidor que está ejecutando SQL Server 2000 mediante Analizador de consultas.
  4. Supervisar la comunicación mediante Microsoft Network Monitor o una Sniffer de Network.

Aplicación ODBC

Para probar con una aplicación ODBC, siga estos pasos:
  1. Modifique la cadena de conexión ODBC u OLEDB:

    ODBC 
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Conectarse al equipo que está ejecutando SQL Server 2000 y supervisar la comunicación mediante Monitor de red de Microsoft o un Sniffer de Network.
Volver al principio | Enviar comentarios

Referencias

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
316898
(http://support.microsoft.com/kb/316898/ )
Cómo habilitar el cifrado SSL para una instancia de SQL Server mediante Microsoft Management Console
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 276553 - Última revisión: martes, 04 de abril de 2006 - Versión: 10.4
La información de este artículo se refiere a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Palabras clave: 
kbmt kbhowtomaster KB276553 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 276553
(http://support.microsoft.com/kb/276553/en-us/ )
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio