Como habilitar a criptografia SSL para uma instância do SQL Server usando o console de gerenciamento Microsoft

Este artigo passo a passo descreve como instalar um certificado em um computador que está executando o Microsoft SQL Server 2000 ou Microsoft SQL Server 2005 usando o Microsoft Management Console (MMC) e descreve como ativar a criptografia SSL no servidor, ou para clientes específicos.

Observação Você não pode usar esse método para colocar um certificado em um servidor de cluster do SQL Server.

Se sua empresa tiver implementado uma autoridade de certificação corporativa, você pode solicitar certificados para um servidor autônomo do SQL Server e, em seguida, usar o certificado para a criptografia SSL (Secure Sockets LAYER).

Você pode habilitar a opção de Forçar criptografia de protocolo no servidor ou no cliente.

Observação Não habilite a opção de Forçar criptografia de protocolo no cliente e o servidor. Para habilitar Forçar criptografia de protocolo no servidor, use o Server Network Utility. Para habilitar Forçar criptografia de protocolo no cliente, use o utilitário de rede para clientes.

importante Se você ativar a criptografia SSL usando o utilitário de rede para clientes, todas as conexões de que o cliente irão solicitar criptografia SSL para qualquer servidor SQL à qual esse cliente se conecta.

Aviso Se você habilitar Forçar criptografia de protocolo no computador cliente, você não pode se conectar a versões anteriores do SQL Server do que o cliente específico. Versões anteriores do SQL Server não reconhecem a criptografia SSL.

Se você habilitar Forçar criptografia de protocolo no servidor, você deve instalar um certificado no servidor.

Se você deseja ativar Forçar criptografia de protocolo no cliente, você deve ter um certificado no servidor e o cliente deve ter a autoridade raiz confiáveis atualizado para confiar no certificado de servidor.

Observação Se você estiver usando o SQL Server 2005 para habilitar conexões criptografadas para uma instância do SQL Server 2005, você pode definir o valor da opção ForceEncryption como Sim . Para obter mais informações, consulte o "How to: ativar conexões de criptografia para o mecanismo de banco de dados (SQL Server Configuration Manager)" tópico no SQL Server 2005.

Instalar um certificado em um servidor com o Microsoft Management Console (MMC)

Para usar criptografia SSL, você deve instalar um certificado no servidor. Siga estas etapas para instalar o certificado usando o snap-in Microsoft Management Console (MMC).

como configurar o snap-in do MMC

1. Para abrir o snap-in de certificados, siga estas etapas:
   1. Para abrir o console do MMC, clique em Iniciar e, em seguida, clique em Executar . No tipo de caixa do diálogo Executar :
      
      MMC
   2. No menu console , clique em Adicionar/remover Snap-in.. .
   3. Clique em Adicionar e, em seguida, clique em certificados . Clique em Adicionar novamente.
   4. Você será solicitado a abrir o snap-in para a conta de usuário atual, a conta de serviço, ou para a conta de computador. Selecione a conta de computador .
   5. Selecione computador local e, em seguida, clique em Concluir .
   6. Clique em Fechar na caixa de diálogo Adicionar Snap-in autônomo .
   7. Clique em OK na caixa de diálogo Adicionar/remover Snap-in . Os certificados instalados são localizados na pasta certificados no recipiente particular .
2. Use o snap-in do MMC para instalar o certificado no servidor:
   1. Clique para selecionar a pasta pessoal no painel esquerdo.
   2. Clique com o botão direito do mouse no painel direito, aponte para Todas as tarefas e, em seguida, clique em Solicitar novo certificado... .
   3. A caixa de diálogo Assistente para solicitação de certificados é aberta. Clique em Avançar . Selecione certificado tipo é "computador" .
   4. Na caixa de texto Friendly Name digite um nome amigável para o certificado ou deixar a caixa de texto em branco e, em seguida, conclua o assistente. Depois que o assistente for concluído, você verá o certificado na pasta com o nome de domínio totalmente qualificado do computador.
      
      
   5. Se desejar habilitar a criptografia para um cliente específico ou clientes, ignorar esta etapa e vá para a seção Enable encryption for a specific client deste artigo.
      
      Se desejar habilitar a criptografia no servidor, abra o Server Network Utility no servidor onde o certificado está instalado e clique para selecionar a caixa de seleção Forçar criptografia de protocolo . Reinicie o serviço MSSQLServer (SQL Server) para a criptografia entrem em vigor. O servidor agora está pronto para usar criptografia SSL.

Habilitar a criptografia para um cliente específico

Para o cliente solicitar criptografia SSL, o computador cliente deve confiar o certificado do servidor e o certificado já deve existir no servidor. Você precisa usar o snap-in do MMC para exportar a autoridade de raiz certificação confiáveis usadas pelo certificado do servidor:

1. Para exportar confiável raiz (autoridade do certificado servidor de certificação), execute estas etapas:
   1. Abrir o MMC e localize o certificado na pasta particular .
   2. Clique o nome do certificado com o botão direito do mouse e, em seguida, clique em Abrir .
   3. Revisão guia Caminho de certificação Observe o item mais superior.
   4. Navegue até a pasta Autoridades de certificação raiz confiáveis e localize a autoridade de certificação observado na etapa c...
   5. Clique com o botão direito do mouse em CA , aponte para Todas as tarefas e, em seguida, clique em Exportar .
   6. Selecione todos os padrões e salvar o arquivo exportado para o disco onde o computador cliente pode acessar o arquivo.
2. Siga estas etapas para importar o certificado no computador cliente:
   1. Navegue para o computador cliente usando o snap-in do MMC e, em seguida, vá para a pasta Autoridades de certificação raiz confiáveis .
   2. Clique com o botão direito na pasta Autoridades de certificação raiz confiáveis , aponte para Todas as tarefas e, em seguida, clique em Importar .
   3. Procure e selecione o certificado (arquivo .cer) que gerado na etapa 1. Selecione os padrões para concluir a parte restante do assistente.
   4. Use o utilitário de rede de cliente do SQL Server.
   5. Clique para selecionar a opção force protocolo criptografia . O cliente agora está pronto para usar criptografia SSL.

Como testar a conexão de cliente

Para testar sua conexão de cliente, que você pode:

• Use a ferramenta Analisador de consulta.
  
  - ou -
  
  
• Use qualquer aplicativo ODBC onde você pode alterar a seqüência de caracteres de conexão.

ferramenta Analisador de consulta

Para usar a ferramenta Analisador de consultas, execute essas etapas:

1. Use o utilitário de rede de cliente do SQL Server.
2. Clique para selecionar a opção de Forçar criptografia de protocolo .
3. Se conectar ao servidor que está executando o SQL Server 2000 usando o Query Analyzer.
4. Monitorar a comunicação usando o Monitor de rede Microsoft ou um sniffer de rede.

ODBC ou OLEDB aplicativo exemplo seqüências de conexão

Se você usar seqüências de conexão ODBC ou OLEDB, siga estas etapas:

1. Modificar a seqüência de conexão ODBC ou OLEDB. Por exemplo:
   
   ODBC

   Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES

   OLEDB

   Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True

2. Conecte-se ao servidor que esteja executando o SQL Server 2000 e, em seguida, monitorar a comunicação usando o Monitor de rede Microsoft ou um sniffer de rede.

Solução de problemas

Depois de instalar o certificado com êxito, o certificado não aparecer na lista de certificados na guia certificado .

Observação A guia de certificado está em protocolos os para <InstanceName> propriedades caixa de diálogo que é aberta do SQL Server Configuration Manager.

Esse problema ocorre porque você pode ter instalado um certificado inválido. Se o certificado for inválido, ele não será listado na guia certificados . Para determinar se o certificado que você instalou é válido, execute estas etapas:

1. Abra o snap-in de certificados. Para fazer isso, consulte Etapa 1 na seção "Como configurar o snap-in do MMC".
2. No snap-in de certificados, expanda pessoal e, em seguida, expanda Certificates .
3. No painel direito, localize o certificado que você instalou.
4. Determine se o certificado atende aos seguintes requisitos:
   • No painel à direita, o valor na coluna Intended Purpose para esse certificado deve ser a Autenticação do servidor .
   • No painel à direita, o valor na coluna Emitido para deve ser o nome do servidor.
5. Clique duas vezes no certificado e determinar se o certificado atende aos seguintes requisitos:
   • Na guia Geral , a seguinte mensagem:
     Você tem uma chave particular correspondente a este certificado.
   • Na guia detalhes , o valor para o campo assunto deve ser o nome do servidor.
   • O valor para o campo Uso avançado de chave deve ser autenticação do servidor (<number>).
   • Na guia Caminho de certificação , o nome do servidor deve aparecer em caminho de certificação .

Se qualquer um desses requisitos não for atendido, o certificado é inválido.