Como habilitar a criptografia SSL para o SQL Server 2000 se tiver um servidor de certificado válido

ID do artigo: 276553 - Exibir os produtos aos quais esse artigo se aplica.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Expandir tudo | Recolher tudo

Nesta página

Sumário

Este artigo lista as etapas que você deve usar para habilitar a criptografia Secure Socket Layer (SSL) para Microsoft SQL Server 2000 se você tiver um servidor de certificado válido no seu ambiente de rede. Se você tiver adquirido certificados de um fornecedor de certificação de terceiros, siga as instruções fornecidas pelo fornecedor. SQL Server 2000 permite que conexões criptografadas sobre todas as bibliotecas de rede usando certificados e criptografia SSL. Você pode habilitar criptografia do SQL Server usando a biblioteca de rede SuperSocket, Ssnetlib.dll ou Dbnetlib.dll

Se você usar criptografia SSL em um cluster do SQL Server, você pode usar os mesmos procedimentos, exceto que o certificado deve ser emitido para o nome de domínio totalmente qualificado do SQL Server Virtual e não o nome do computador individual. Além disso, a maneira como a Microsoft recomenda que você usar certificados e criptografia SSL em um cluster do SQL Server é:
  1. Instale os certificados em cada nó no cluster.
  2. Instale a autoridade raiz confiável em cada cliente.
  3. Ativar a opção Forçar criptografia de protocolo dos computadores cliente usando a rede de cliente utilitário.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
319349
(http://support.microsoft.com/kb/319349/ )
Erro: Ativando a opção "Forçar criptografia de protocolo" é irreversível se não houver nenhum certificado
Para criptografar a comunicação entre um computador cliente e um servidor, primeiro você deve decidir se deseja que a criptografia por servidor ou em uma base por cliente. Tenha em mente que há um SQL atual limitação Server se você habilitar a criptografia no servidor. Criptografia será para todas as conexões de entrada. Se você ativar a criptografia no computador cliente, todas as conexões de saída do que o cliente tentar estabelecer uma conexão criptografada para qualquer SQL Server.

Além disso, quando você habilita Forçar criptografia de protocolo do servidor, ele criptografa os dados e logons. No entanto, ele não requer o cliente deverá confiar na mesma autoridade raiz. Se você preferir o cliente deverá confiar na mesma autoridade raiz, você deve usar o utilitário de rede do cliente ou a opção de seqüência de caracteres de conexão para forçar protocolo criptografia no cliente. Isso ocorre por design.

SQL Server não inicia se o certificado é inválido ou se a conta de serviço que foi usada para iniciar o serviço MSSQLServer não é possível localizar o certificado. Portanto, a Microsoft recomenda que você solicite o certificado enquanto você estiver conectado usando a mesma conta de usuário usada para iniciar o serviço MSSQLServer.

Se o Microsoft Internet Information Services (IIS) estiver instalado no computador que está executando o SQL Server, você também pode usar o Assistente de Gerenciador do IIS serviço no Directory segurança guia. O certificado deve ser um certificado de servidor foi emitido para o nome de domínio totalmente qualificado (FQDN) do servidor. Você não pode usar o endereço IP para o nome do certificado. Um computador cliente deve solicitar a conexão com o servidor pelo nome NetBIOS ou FQDN do servidor. Não é possível se conectar ao servidor usando o endereço IP do computador que está executando o SQL Server.

Se o computador tiver vários certificados instalados no armazenamento do usuário ou no armazenamento do computador, talvez seja necessário especificar qual certificado deve ser usado para o SQL Server.

Crie um valor certificado do tipo REG_BINARY na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Clique no valor certificados e digite o valor da propriedade impressão digital do certificado na coluna de dados.

Como exemplo, o registro deve aparecer semelhante à seguinte quando você exportá-lo:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
Se essa chave do registro é definida como 0 no computador, o computador ignorará os certificados no computador. O computador que está executando o SQL Server será iniciado, mas não ler o certificado no computador. Se você deseja usar a criptografia e o computador tem somente um certificado, você não precisa essa chave do Registro.

A única maneira de verificar que você fez uma conexão criptografada com êxito é capturar o tráfego entre dois computadores usando o Microsoft Network Monitor ou uma ferramenta sniffer de rede. Para obter mais informações sobre a instalação do Microsoft Network Monitor, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
243270
(http://support.microsoft.com/kb/243270/ )
Como instalar o Monitor de rede no Windows 2000

Solicitar e instalar um certificado usando um servidor de certificados

  1. Fazer uma conexão HTTP com o servidor de certificados enquanto você estiver conectado usando a conta mesma que você usou para iniciar o serviço MSSQLServer. Por exemplo, você pode fazer a seguinte conexão:
    http://mycertserver/certsrv
    (http://mycertserver/certsrv)
    Observação A Microsoft recomenda que você iniciar o serviço MSSQLServer por meio de uma conta de usuário de domínio ou uma conta de usuário local que tenha privilégios mínimos e não a conta do sistema local.
  2. Selecione Solicitar um certificado e, em seguida, clique em Avançar .
  3. No Escolher tipo de solicitação: , clique em para selecionar a solicitação avançada e, em seguida, clique em Avançar .
  4. Selecione Enviar uma solicitação de certificado para esta autoridade de certificação usando um formulário e, em seguida, clique em Avançar .
  5. Insira o nome de domínio totalmente qualificado do seu computador na caixa nome . Ping seu computador para obter o nome de domínio totalmente qualificado, se você não tiver certeza de que é.
  6. Na seção Intended Purpose , altere a seleção para o certificado de autenticação do servidor usando a soltar - caixa de listagem suspensa da autenticação de cliente certificados. Para uma autoridade de certificação corporativa escolha um modelo em vez disso.
  7. Clique na opção Armazenar certificado no armazenamento de certificado do computador local.
  8. Deixe todos os outros itens como o padrão. Clique em Enviar .
  9. A última página apresenta um hiperlink de certificado para instalação . Clique em instalar este certificado .
Voltar para o início | Submeter comentários
Para verificar sua instalação do certificado está correta, use tanto o MMC Certificados snap-in para verificar os certificados ou usar a ferramenta CertUtil.exe instalado no servidor de certificados para listar os certificados. Para carregar o snap-in do MMC certificados, execute estas etapas:
  1. Para abrir o console do MMC, clique em Iniciar e em seguida, clique em Executar .
  2. Na caixa de diálogo Executar , digite mmc e, em seguida, clique em OK .
  3. No menu console , clique em Adicionar/remover Snap-in .
  4. Clique em Adicionar e, em seguida, clique em certificados .
  5. Clique em Adicionar .

    Você será solicitado a abrir o snap-in para a conta de usuário atual, para a conta de serviço ou para a conta de computador.
  6. Clique em conta de computador .
  7. Clique em computador local e, em seguida, clique em Concluir
  8. Clique em Fechar .
  9. Clique em OK .

    Os certificados instalados são localizados na pasta certificados no recipiente particular .
Clique duas vezes no certificado e verifique se todos os itens a seguir forem verdadeiras:
  • Uma chave particular correspondente a este certificado.
  • O nome da entidade do certificado é igual ao FQDN do computador.
  • O objetivo pretendido do certificado é a autenticação do servidor.
  • O caminho do certificado tem uma cadeia válida para a autoridade raiz.

Habilitar a criptografia SSL no SQL Server

Depois que o certificado é instalado no servidor, você pode ativar criptografia SSL seguindo estas etapas:
  1. Use o utilitário de rede do SQL Server e clique para marcar a caixa de seleção Forçar criptografia de protocolo .
  2. Pare e reinicie o serviço MSSQLServer para a instância padrão ou a instância nomeada.
  3. Use o log de erro do SQL Server para verificar que o SQL Server não relatar erros quando iniciado.

Habilitar a criptografia SSL para um cliente específico

Se desejar habilitar a criptografia SSL globalmente no servidor, você pode habilitar a criptografia SSL de clientes específicos. Não habilite SSL criptografia no servidor e cliente, use um ou outro. Se você habilitar a criptografia SSL em uma base por cliente, o computador cliente deve confiar o certificado do servidor. O certificado já deve existir no servidor. O computador cliente não requer um certificado, mas ele deve ter o certificado do servidor como uma autoridade de certificação raiz confiáveis. Siga estas etapas para habilitar a criptografia SSL em uma base por cliente:
  1. Verifique se você desabilitar ou desmarque a opção Forçar criptografia de protocolo no Server Network Utility.
  2. Fazer uma conexão de teste de um computador cliente usando o Monitor de rede ou uma ferramenta sniffer de rede para verificar que a comunicação entre um computador cliente e servidor não está criptografada.
  3. Clique com o botão direito do mouse no ícone Internet Explorer localizado na área de trabalho no computador que está executando o SQL Server.
  4. Clique com o botão direito do mouse em Propriedades .
  5. Clique na guia conteúdo .
  6. Clique em certificados .
  7. Clique em autoridades de certificação raiz confiáveis .
  8. Clique para selecionar Autoridade de certificação .
  9. Clique em Exportar e, em seguida, clique em Avançar .
  10. Na caixa de diálogo Exportar formato de arquivo , clique em Criptografia sintaxe padrão de mensagens - PKCS # 7 certificados (. p7b) .
  11. Clique para selecionar a caixa de seleção incluir todos os certificados no caminho de certificação, se possível .
  12. Selecione um nome de arquivo para o certificado exportado. Verifique se o local do arquivo está em algum lugar que o computador cliente pode acessar mais tarde para importá-lo.
  13. Clique em Avançar e, em seguida, clique em Concluir .
  14. No computador cliente, selecione seu navegador da Internet, clique com o botão direito do mouse em Propriedades , aponte para conteúdo e, em seguida, clique em certificados .
  15. Clique na guia Autoridades de certificação raiz confiáveis .
  16. Clique em Importar , clique em Avançar , clique em Procurar e, em seguida, clique em alterar arquivos do tipo para: PKCS # 7 Certificates(*.p7b) .
  17. Selecione o certificado que recém-exportada do SQL Server e, em seguida, clique em Abrir . Clique em Avançar .
  18. Clique para selecionar a caixa de seleção Selecionar automaticamente o armazenamento de certificados com base no tipo de certificado .
  19. Clique em Sim para adicionar o seguinte certificado ao armazenamento raiz.
  20. Clique em Avançar e, em seguida, clique em Concluir .
  21. Uma caixa de diálogo é aberta com o texto:
    a importação foi bem-sucedida .
  22. Verifique se o certificado é exibido em raiz confiáveis autoridades de certificação e que indica todas as Finalidades .
  23. Clique em Exibir para verificar que nenhum erro foi relatado com o certificado.
  24. Clique na guia Caminho de certificação e, em seguida, verifique o status de certificados para ver se ele está definido como OK .
  25. Abrir o utilitário de rede para clientes e, em seguida, clique para selecionar a caixa de seleção Forçar criptografia de protocolo .

Testar a criptografia de um cliente

Para testar a criptografia de um cliente, use um dos seguintes métodos:
  • Use a ferramenta Analisador de consultas.
  • Use qualquer aplicativo ODBC onde você pode alterar a seqüência de caracteres de conexão.

Analisador de consulta

Para testar com a ferramenta SQL Query Analyzer, execute essas etapas:
  1. Use o utilitário de rede de cliente do SQL Server.
  2. Clique para selecionar a caixa de seleção Forçar criptografia de protocolo .
  3. Se conectar ao servidor que está executando o SQL Server 2000 usando o Query Analyzer.
  4. Monitorar a comunicação usando o Microsoft Network Monitor ou um sniffer de rede.

Aplicativo ODBC

Para testar com um aplicativo ODBC, execute estas etapas:
  1. Modificar a seqüência de conexão ODBC ou OLEDB:

    ODBC 
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Se conectar ao computador que está executando o SQL Server 2000 e monitorar a comunicação usando o Monitor de rede Microsoft ou um sniffer de rede.
Voltar para o início | Submeter comentários

Referências

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
316898
(http://support.microsoft.com/kb/316898/ )
Como habilitar a criptografia SSL para uma instância do SQL Server usando o console de gerenciamento Microsoft
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 276553 - Última revisão: terça-feira, 4 de abril de 2006 - Revisão: 10.4
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Palavras-chave: 
kbmt kbhowtomaster KB276553 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 276553
(http://support.microsoft.com/kb/276553/en-us/ )
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início