DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 276553 - Última revisão: terça-feira, 4 de Abril de 2006 - Revisão: 10.4

 

Nesta página

Sumário

Este artigo passo a passo lista os passos que tem de utilizar para activar a encriptação Secure Socket Layer (SSL) para o Microsoft SQL Server 2000 se tiver um servidor de certificado válido no ambiente de rede. Se tiver adquirido certificados de um fornecedor de certificados de fabricantes, siga as instruções fornecidas pelo fornecedor. SQL Server 2000 permite ligações encriptadas através de todas as bibliotecas de rede utilizando certificados e encriptação SSL. Pode activar a encriptação do SQL Server utilizando a biblioteca de rede SuperSocket, Ssnetlib.dll ou Dbnetlib.dll

Se utilizar encriptação SSL num cluster do SQL Server, pode utilizar os mesmos procedimentos, exceptuando o facto do certificado tem de ser emitido para o nome de domínio totalmente qualificado do SQL Server Virtual e não o nome do computador individual. Além disso, a forma como a Microsoft recomenda que utiliza certificados e encriptação de SSL num cluster do SQL Server é:
  1. Instale os certificados em cada nó no cluster.
  2. Instale a autoridade de raiz fidedigna em cada cliente.
  3. Activar a opção Force protocolo de encriptação de computadores cliente utilizando o Client Network Utility.
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
319349  (http://support.microsoft.com/kb/319349/ ) Erro: Activar a opção "Forçar protocolo encriptação" é irreversível se não existir nenhum certificado
Para encriptar as comunicações entre um computador cliente e um servidor, tem primeiro de decidir se pretende que a encriptação por servidor ou num regime por cliente. Tenha em atenção que existe um actual SQL Server limitação se activar a encriptação no servidor. Encriptação será para todas as ligações a receber. Se activar a encriptação no computador cliente, todas as ligações de saída a partir desse cliente tentar estabelecer uma ligação encriptada ao qualquer servidor de SQL.

Além disso, quando activar Force protocolo de encriptação do servidor, encripta os inícios de sessão e os dados. No entanto, não requer o cliente considere fidedignos à mesma autoridade raiz. Se preferir o cliente considere fidedignos à mesma autoridade raiz, tem de utilizar o utilitário de rede do cliente ou a opção de cadeia de ligação para forçar o protocolo de encriptação no cliente. Isto ocorre por predefinição.

SQL Server não é iniciado se o certificado é inválido ou se a conta de serviço que foi utilizada para iniciar o serviço MSSQLServer não consegue localizar o certificado. Por conseguinte, a Microsoft recomenda que pedir o certificado enquanto tiver sessão iniciada utilizando a mesma conta de utilizador que utilizou para iniciar o serviço MSSQLServer.

Se o ISS (Serviços de informação Internet Information Services) estiver instalado no computador que está a executar o SQL Server, também pode utilizar o Assistente do Gestor de serviços do IIS no Directory segurança separador. O certificado tem de ser um certificado de servidor que foi emitido para o nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) do servidor. Pode utilizar o endereço IP para o nome do certificado. Um computador cliente deve solicitar a ligação ao servidor pelo nome FQDN, Fully Qualified Domain Name ou NetBIOS do servidor. Não pode ligar ao servidor utilizando o endereço IP do computador que está a executar o SQL Server.

Se o computador tiver vários certificados instalados no arquivo de utilizador ou no arquivo de computador, poderá ter de especificar qual o certificado deve ser utilizado para o SQL Server.

Crie um valor certificado do tipo REG_BINARY na seguinte chave do registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib
Clique no certificado e, em seguida, escreva o valor da propriedade thumbprint do certificado na coluna de dados.

Por exemplo, o registo deve aparecer semelhante à seguinte quando exportá-la:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNetLib] "Certificate"=hex:2e,67,3e,84,4a,4f,e0,7f,08,42,6a,7a,35,9b,01,94,76,67,0b
Se esta chave de registo estiver definida como 0 no computador, o computador ignora os certificados no computador. O computador que esteja a executar o SQL Server irá iniciar mas não ler o certificado no computador. Se pretender utilizar a encriptação e o computador tiver apenas um certificado, não será necessário esta chave de registo.

A única forma de verificar que tiver efectuado com êxito uma ligação encriptada consiste em capturar o tráfego entre dois computadores utilizando o Microsoft Network Monitor ou uma ferramenta sniffer de rede. Para obter mais informações sobre a configuração do Microsoft Network Monitor, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
243270  (http://support.microsoft.com/kb/243270/ ) Como instalar o Monitor de rede no Windows 2000

Pedir e instalar um certificado utilizando um servidor de certificado

  1. Estabelecer uma ligação HTTP ao servidor de certificado enquanto tiver sessão iniciada utilizando a mesma conta que utilizou para iniciar o serviço MSSQLServer. Por exemplo, pode efectuar a seguinte ligação:
    http://mycertserver/certsrv (http://mycertserver/certsrv)
    Nota A Microsoft recomenda que iniciar o serviço MSSQLServer utilizando uma conta de utilizador de domínio ou uma conta de utilizador local que tenha privilégios mínimos e não a conta sistema local.
  2. Seleccione Pedir um certificado e, em seguida, clique em seguinte .
  3. No Seleccionar tipo de pedido: página, clique para seleccionar Advanced request e, em seguida, clique em seguinte .
  4. Seleccione Submeter um pedido de certificado a esta AC utilizando um formulário e, em seguida, clique em seguinte .
  5. Introduza o nome de domínio totalmente qualificado do computador na caixa nome . Efectuar o ping do computador para obter o nome de domínio totalmente qualificado se não tiver a certeza o que é.
  6. Na secção Que se destina o objectivo , alterar a selecção para o certificado de autenticação de servidor através da utilização de lista pendente - caixa de listagem de autenticação de cliente certificado. Para uma autoridade de certificação empresarial escolheria um modelo em vez disso.
  7. Clique na opção arquivo de certificados no arquivo de certificados computador local.
  8. Deixe todos os outros itens como predefinição. Clique em Submeter .
  9. A última página apresenta uma hiperligação de certificado para instalação . Clique em instalar este certificado .
Para verificar que a instalação do certificado está correcta, utilize qualquer um do MMC snap-in Certificados para verificar os certificados ou utilizar a ferramenta CertUtil.exe instalada no servidor de certificado para listar os certificados. Para carregar o snap-in da MMC certificados, siga estes passos:
  1. Para abrir a consola MMC, clique em Iniciar e, em seguida, clique em Executar .
  2. Na caixa de diálogo Executar , escreva mmc e, em seguida, clique em OK .
  3. No menu consola , clique em Adicionar/remover Snap-in .
  4. Clique em Adicionar e, em seguida, clique em certificados .
  5. Clique em Adicionar .

    É-lhe pedido para abrir o snap-in para a conta de utilizador actual, para a conta do serviço ou para a conta de computador.
  6. Clique em conta de computador .
  7. Clique em computador local e, em seguida, clique em Concluir
  8. Clique em Fechar .
  9. Clique em OK .

    Os certificados instalados estão localizados na pasta certificados no contentor de pessoal .
Faça duplo clique no certificado e, em seguida, certifique-se que todos os seguintes são verdadeiros:
  • Uma chave privada corresponde a este certificado.
  • O nome do requerente do certificado é igual para o FQDN do computador.
  • O objectivo que se destina o certificado é para a autenticação de servidor.
  • O caminho do certificado tem uma cadeia válida para a autoridade raiz.

Activar a encriptação SSL no SQL Server

Depois de instalar o certificado no servidor, pode activar a encriptação SSL, seguindo estes passos:
  1. Utilize o utilitário de rede do SQL Server e clique para seleccionar a caixa de verificação Force protocolo encriptação .
  2. Pare e reinicie o serviço MSSQLServer para a instância predefinida ou instância com nome.
  3. Utilize o registo de erros do SQL Server para verificar que SQL Server não comunicou erros quando iniciado.

Activar a encriptação SSL para um cliente específico

Se não pretender activar a encriptação SSL globalmente no servidor, pode activar encriptação de SSL de clientes específicos. Não activar o SSL encriptação no servidor e no cliente, utilize um ou a outra. Se activar a encriptação SSL numa base por cliente, o computador cliente deve confiar o certificado do servidor. O certificado já deve existir no servidor. O computador cliente não requer um certificado mas tem de ter o certificado de servidor como uma autoridade de certificação raiz fidedigna. Siga estes passos para activar a encriptação SSL numa base por cliente:
  1. Certifique-se que desactive ou desmarque a opção Force protocolo encriptação no utilitário de rede do servidor.
  2. Estabelecer uma ligação teste a partir de um computador cliente utilizando o Monitor de rede ou uma ferramenta sniffer de rede para verificar que a comunicação entre um computador cliente e servidor não está encriptada.
  3. Com o botão direito do rato no ícone do Internet Explorer que está localizado o ambiente de trabalho no computador que está a executar o SQL Server.
  4. Clique com o botão direito do rato em ' Propriedades '.
  5. Clique no separador conteúdo .
  6. Clique em certificados .
  7. Clique em autoridades de certificação de raiz fidedigna .
  8. Clique para seleccionar a Autoridade de certificação .
  9. Clique em Exportar e, em seguida, clique em seguinte .
  10. Na caixa de diálogo Formato do ficheiro de exportação , clique em Cryptographic Message sintaxe padrão - PKCS # 7 certificados (. p7b) .
  11. Clique para seleccionar a caixa de verificação incluir todos os certificados no caminho de certificação, se possível .
  12. Seleccione um nome de ficheiro para o certificado exportado. Certifique-se que a localização do ficheiro é outro local que o computador cliente pode aceder mais tarde para importá-lo.
  13. Clique em seguinte e, em seguida, clique em Concluir .
  14. No computador cliente, seleccione o browser da Internet, clique com o botão direito do rato em ' Propriedades , aponte para o conteúdo e, em seguida, clique em certificados .
  15. Clique no separador Autoridades de certificação de raiz fidedigna .
  16. Clique em Importar , clique em seguinte , clique em Procurar e, em seguida, clique em alterar ficheiros do tipo: PKCS # 7 Certificates(*.p7b) .
  17. Seleccione o certificado que acabou de exportar do SQL Server e, em seguida, clique em Abrir . Clique em seguinte .
  18. Clique para seleccionar a caixa de verificação Seleccionar automaticamente o arquivo de certificados com base no tipo de certificado .
  19. Clique em ' Sim ' para adicionar o seguinte certificado ao arquivo raiz.
  20. Clique em seguinte e, em seguida, clique em Concluir .
  21. Abre uma caixa de diálogo com o texto:
    a importação foi bem sucedida .
  22. Verifique se o certificado é apresentado em raiz fidedigna autoridades de certificação e que indica todos os Objectivos a que se destina .
  23. Clique em Ver para verificar que foram reportados sem erros com o certificado.
  24. Clique no separador Caminho da certificação e, em seguida, verifique o estado de certificado para ver se é definida para OK .
  25. Abra o utilitário de rede do cliente e, em seguida, clique para seleccionar a caixa de verificação Force protocolo encriptação .

Testar a encriptação de um cliente

Para testar a encriptação de um cliente, utilize um dos seguintes métodos:
  • Utilize a ferramenta de analisador de consultas.
  • Utilize qualquer aplicação de ODBC onde pode alterar a cadeia de ligação.

Analisador de consulta

Para testar com a ferramenta de SQL Query Analyzer, siga estes passos:
  1. Utilize o utilitário de rede do cliente SQL Server.
  2. Clique para seleccionar a caixa de verificação Force protocolo encriptação .
  3. Ligar ao servidor com o SQL Server 2000 utilizando o analisador de consultas.
  4. Monitorizar a comunicação utilizando o Microsoft Network Monitor ou um sniffer de rede.

Aplicação de ODBC

Para testar com uma aplicação ODBC, siga estes passos:
  1. Modificar a cadeia de ligação ODBC ou OLEDB:

    ODBC
    Driver=SQLServer;Server=ServerNameHere;UID=UserIdHere;PWD=PasswordHere;Network=DBNETLIB.DLL;Encrypt=YES
    						
    OLEDB
    Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist Security Info=False;Initial Catalog=dbNameHere;Data Source=ServerNameHere;Use Encryption for Data=True
  2. Ligar ao computador que está a executar o SQL Server 2000 e monitorizar a comunicação utilizando o Monitor de rede Microsoft ou um sniffer de rede.

Referências

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
316898  (http://support.microsoft.com/kb/316898/ ) Como activar a encriptação SSL para uma instância do SQL Server utilizando a consola de gestão da Microsoft

A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
Palavras-chave: 
kbmt kbhowtomaster KB276553 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 276553  (http://support.microsoft.com/kb/276553/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft