Como o SQL Server usa um certificado quando a opção Forçar criptografia de protocolo está ativada

Traduções deste artigo Traduções deste artigo
ID do artigo: 318605 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como o SQL Server usa, localiza e valida um certificado quando a opção Forçar criptografia de protocolo está ativada no cliente ou no servidor para habilitar a criptografia de biblioteca de rede.

Observação Os conceitos e discussões neste artigo que se aplicam ao SQL Server 2000 também são aplicáveis para o SQL Server 2005. No entanto, no SQL Server 2005, use a opção ForceEncryption em vez da opção Forçar criptografia de protocolo . Você pode definir o valor da opção ForceEncryption como Sim para habilitar conexões de criptografia para uma instância do SQL Server. Para obter mais informações, consulte o "How to: ativar conexões de criptografia para o mecanismo de banco de dados (SQL Server Configuration Manager)" tópico nos manuais online do SQL Server 2005.

Mais Informações

Como o SQL Server usa certificados

SQL Server 2000 dá suporte à opção Forçar criptografia de protocolo para controlar a criptografia de biblioteca de rede. Quando a Criptografia de protocolo Force está ativado, o SQL Server usa SSL (Secure Sockets LAYER) para criptografar toda a comunicação entre o cliente e o SQL Server. Um certificado é necessário porque criptografia SSL só funciona com instâncias do SQL Server 2000 em execução em um computador que tem um certificado atribuído de uma autoridade de certificação pública. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
276553Como habilitar a criptografia SSL para o SQL Server 2000 com o Certificate Server
Para obter mais informações sobre como ativar a criptografia SSL para o SQL Server 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
316898Como habilitar a criptografia SSL para SQL Server 2000 com O MMC
Se a opção Forçar criptografia de protocolo está ativada no cliente usando o SQL Server Client Network Utility, somente comunicação para que o cliente para o SQL Server será criptografada. Se esse cliente tenta se conectar a outro computador que está executando o SQL Server, o cliente tentará criptografar a comunicação. Se a opção Forçar criptografia de protocolo estiver ativada no cliente, que o cliente não é compatível com versões anteriores. Portanto, o cliente não pode se conectar ao Microsoft SQL Server 6.5 ou o Microsoft SQL Server 7.0. Se o computador que está executando o SQL Server ao qual o cliente está tentando se conectar não tiver um certificado instalado, o cliente recebe essa mensagem de erro:

Criptografia não suportada no SQL Server
Portanto, se um cliente solicitar criptografia, um certificado deve ser instalado no computador que está executando o SQL Server. Após você instalar o certificado no computador que está executando o SQL Server, reinicie o SQL Server para usar o certificado. Se você não reiniciar o SQL Server após você instalar o certificado, os clientes com criptografia ativada falhará para se conectar e a mensagem de erro mesmo aparece:

Criptografia não suportada no SQL Server
Se a opção Forçar criptografia de protocolo está ativada no servidor usando o Server Network Utility, comunicação entre todos os clientes e SQL Server será criptografada. Portanto, se um certificado não estiver instalado no computador que está executando o SQL Server ou se o SQL Server não pode validar o certificado, SQL Server não inicia. O log de erro do SQL Server terá este texto:

2001-08-23 15:12:09.48 criptografia solicitado mas não válido certificado de servidor foi encontrado. O SQL Server encerrando.
2001-08-23 15:12:09.62 servidor erro: 17826, gravidade: 18, estado: 1
2001-08-23 15:12:09.62 servidor não pode configurar o NET-Library 'SSNETLIB'
2001-08-23 15:12:09.67 servidor erro: 17059, gravidade: 18, estado: 0
Erro do sistema operacional do servidor do 2001-08-23 15:12:09.67-1073723998:
2001-08-23 15:12:09.67 servidor não é possível carregar qualquer netlibs.
2001-08-23 15:12:09.74 servidor SQL Server não foi possível gerar FRunCM thread.

Como o SQL Server localiza um certificado

Para o SQL Server 2000 dourado lançamento, SQL Server examina o armazenamento de certificados para localizar um certificado com o mesmo nome como o domínio nome sistema FQDN (totalmente qualificado) do nome do computador SQL Server. Se você implantar o SQL Server com um cluster de failover, instale o certificado do servidor com o FQDN do servidor virtual em todos os nós do cluster de failover.

SQL Server a partir do Microsoft SQL Server 2000 Service Pack 1, procura por um valor binário que é denominado certificado nessa chave do Registro:
HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Se você estiver usando o SQL Server 2005, é possível encontrar a entrada de registro de certificado sob a seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.x\MSSQLServer\SuperSocketNetLib


Observação MSSQL.x é um espaço reservado para o valor correspondente da instância do SQL Server.

Se o valor certificado estiver ausente ou definido como uma seqüência de tamanho zero, SQL Server examina o armazenamento de certificados para localizar um certificado com o mesmo nome que o FQDN do nome de computador do SQL Server. Se o valor do Registro estiver definido, o SQL Server tenta usar esse certificado.

Como o SQL Server verifica se um certificado é válido

  • Propriedade de EKU do certificado deve ser ativado para autenticação de servidor. Para verificar se o certificado é usado para autenticação de servidor, use clicar duas vezes o Microsoft Management Console (MMC) certificados snap-in. o nome do certificado e, em seguida, selecione detalhes . Clique na propriedade EKU e, em seguida, verifique se o valor é:
        Server Authentication(1.3.6.1.5.5.7.3.1). 
  • Verifique se o nome do certificado é o mesmo como o FQDN do servidor SQL ou o valor configurado no registro (conforme descrito anteriormente).
  • Você deve instalar o certificado para a pasta Certificados - usuário atual \Página enquanto você estiver conectado como a conta de inicialização do SQL Server. Isso assegurará que o certificado será colocado na pasta Certificados pessoais da conta de inicialização do SQL Server. Caso você tenha efetuado logon com uma conta de usuário que seja diferente da conta de inicialização do SQL Server, coloque o certificado na pasta Certificates\Local certificados pessoais do computador . Essa ação resolve o problema de ter certificados armazenados sob a conta de usuário errado.

    Para exibir a pasta de Usuário atual , execute estas etapas:
    1. Faça logon como a conta de inicialização do SQL Server.
    2. Use o snap-in do MMC certificados para verificar o local do certificado.

Propriedades

ID do artigo: 318605 - Última revisão: segunda-feira, 2 de janeiro de 2006 - Revisão: 7.3
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Palavras-chave: 
kbmt kbinfo KB318605 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 318605

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com