Como o SQL Server utiliza um certificado quando a opção Force protocolo de encriptação está activada

Traduções de Artigos Traduções de Artigos
Artigo: 318605 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como SQL Server utiliza, localiza e valida um certificado quando a opção Force protocolo de encriptação está activada no cliente ou no servidor para activar a encriptação de biblioteca de rede.

Nota Os conceitos e debates neste artigo que se aplicam ao SQL Server 2000 também se aplicam ao SQL Server 2005. No entanto, no SQL Server 2005, utilize a opção ForceEncryption em vez da opção Force protocolo de encriptação . Pode definir o valor da opção ForceEncryption como Sim para activar a encriptação de ligações para uma instância do SQL Server. Para mais informações, consulte o "como: activar a encriptação de ligações para o motor de base de dados (SQL Server Configuration Manager)" tópico no SQL Server 2005 Books Online.

Mais Informação

Como o SQL Server utiliza certificados

SQL Server 2000 suporta a opção de Forçar protocolo de encriptação para controlar a encriptação de biblioteca de rede. Quando o Force protocolo de encriptação está activado, SQL Server utiliza (Secure Sockets Layer) para encriptar todas as comunicações entre o cliente e o SQL Server. Um certificado é necessário porque encriptação SSL só funciona com instâncias do SQL Server 2000 em execução no computador que tenha um certificado atribuído de uma autoridade de certificação pública. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
276553Como activar a encriptação SSL para o SQL Server 2000 com o Certificate Server
Para obter mais informações sobre como activar a encriptação SSL para o SQL Server 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
316898Como activar a encriptação SSL para SQL Server 2000 com a consola de gestão da Microsoft
Se a opção Force protocolo de encriptação é activada no cliente, utilizando o utilitário de rede do cliente de SQL Server, apenas a comunicação para esse cliente para o SQL Server está encriptada. Se esse cliente tenta ligar a outro computador que esteja a executar o SQL Server, o cliente tenta encriptar a comunicação. Se a opção Force protocolo de encriptação é activada no cliente, que o cliente já não é compatível com versões anteriores. Por conseguinte, o cliente não é possível ligar ao Microsoft SQL Server 6.5 ou Microsoft SQL Server 7.0. Se o computador com o SQL Server ao qual o cliente está a tentar ligar não tem um certificado instalado, o cliente receberá esta mensagem de erro:

Encriptação não suportada no SQL Server
Por isso, se um cliente pedir encriptação, tem de ser instalado um certificado no computador que está a executar o SQL Server. Depois de instalar o certificado no computador que está a executar o SQL Server, tem de reiniciar do SQL Server para utilizar o certificado. Se não reiniciar o SQL Server depois de instalar o certificado, os clientes com encriptação activada não conseguirão estabelecer ligação e é apresentada a mesma mensagem de erro:

Encriptação não suportada no SQL Server
Se a opção Force protocolo de encriptação é activada no servidor utilizando o utilitário de rede do servidor, a comunicação entre todos os clientes e do SQL Server está encriptada. Por conseguinte, se um certificado não estiver instalado no computador que está a executar o SQL Server ou se o SQL Server não consegue validar o certificado, SQL Server conseguir arrancar. O registo de erros do SQL Server, terá este texto:

foi encontrado 2001-08-23 15:12:09.48 encriptação pedido mas não válido certificado de servidor. SQL Server terminar.
2001-08-23 15:12:09.62 servidor erro: 17826, gravidade: 18, estado: 1
2001-08-23 15:12:09.62 servidor não pode configurar a biblioteca de rede 'SSNETLIB'
2001-08-23 15:12:09.67 servidor erro: 17059, gravidade: 18, estado: 0
Erro de sistema operativo de servidor do 2001-08-23 15:12:09.67-1073723998:
2001-08-23 15:12:09.67 servidor não é possível carregar qualquer netlibs.
2001-08-23 15:12:09.74 servidor do SQL Server não conseguiu expandir FRunCM thread.

Como o SQL Server localiza um certificado

Para o final do SQL Server 2000 de edição, SQL Server observa o arquivo de certificados para localizar um certificado com o mesmo nome como o totalmente qualificados domínio nome do sistema (FQDN) do nome do computador do SQL Server. Se implementar o SQL Server com um cluster de activação pós-falha, tem de instalar o certificado de servidor com o FQDN do servidor virtual em todos os nós do cluster de activação pós-falha.

SQL Server a partir do Microsoft SQL Server 2000 Service Pack 1, procura um valor binário é denominado certificado nesta chave do registo:
HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Se estiver a utilizar o SQL Server 2005, pode encontrar a entrada de registo certificados na seguinte subchave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib


Nota MSSQL.x é um marcador para o valor correspondente da instância do SQL Server.

Se o valor de certificado estiver em falta ou definida como uma cadeia de comprimento zero, SQL Server observa o arquivo de certificados para localizar um certificado com o mesmo nome que o FQDN do nome do computador do SQL Server. Se o valor de registo estiver definido, o SQL Server tentará utilizar esse certificado.

Como o SQL Server verifica que um certificado é válido

  • Propriedades de Utilização avançada de chaves do certificado tem de estar activada para autenticação de servidor. Para verificar que o certificado é utilizado para autenticação de servidor, utilize o nome do certificado de fazer duplo clique no Microsoft Management Console (MMC) certificado snap-in. e, em seguida, seleccione Detalhes . Clique na propriedade Utilização avançada de chaves e, em seguida, verifique se o valor é:
        Server Authentication(1.3.6.1.5.5.7.3.1). 
  • Certifique-se que o nome do certificado é o mesmo como o FQDN do servidor de SQL ou o valor configurado no registo (tal como descrito anteriormente).
  • Tem de instalar o certificado para a pasta de Certificados - utilizador actual \Página enquanto iniciada como a conta de arranque do SQL Server. Isto vai fazer-se de que o certificado será colocado na pasta Certificados pessoais da conta de arranque do SQL Server. Se tiver iniciado sessão com uma conta de utilizador que seja diferente da conta de arranque do SQL Server, coloque o certificado na pasta Certificados pessoais do computador Certificates\Local . Esta acção resolve o problema de ter certificados armazenados sob a conta de utilizador incorrecto.

    Para ver a pasta de Utilizador actual , siga estes passos:
    1. Início de sessão como a conta de arranque do SQL Server.
    2. Utilize o snap-in da MMC certificados para verificar a localização do certificado.

Propriedades

Artigo: 318605 - Última revisão: 2 de janeiro de 2006 - Revisão: 7.3
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL 2005 Server Workgroup
Palavras-chave: 
kbmt kbinfo KB318605 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 318605

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com