DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 316898 - Última revisão: terça-feira, 11 de Junho de 2013 - Revisão: 1.0

 

Nesta página

Sumário

Este artigo passo a passo descreve como instalar um certificado num computador com o Microsoft SQL Server utilizando a consola de gestão da Microsoft (MMC) e descreve como activar a encriptação SSL no servidor ou de clientes específicos.

Nota Não é possível utilizar este método para colocar um certificado num servidor em cluster do SQL Server. Para uma instância em cluster, consulte que o método descrito em "Permitir que um certificado para SSL numa instalação do SQL Server em cluster," posteriormente neste artigo.

Se a empresa tiver implementado uma autoridade de certificação de empresa, pode pedir certificados para um servidor autónomo do SQL Server e, em seguida, utilizar o certificado para encriptação de camada segura de Sockets (SSL).

Pode activar a opção de Encriptação do protocolo de vigor no servidor ou no cliente.

Nota Não Active a opção de Encriptação do protocolo de força no cliente e o servidor. Para activar a Encriptação do protocolo de vigor no servidor, utilize o utilitário de rede do servidor ou o SQL Server Configuration Manager, dependendo da versão do SQL Server. Para activar a Encriptação do protocolo de força no cliente, utilize o utilitário de rede do cliente ou o Gestor de configuração do SQL Server.

Importante Se activar a encriptação SSL utilizando o Client Network Utility (para clientes de SQL Server 2000) ou o SQL Native Client <version></version>Configuração (32 bits) ou de SQL Native Client<version></version>Páginas de configuração no Gestor de configuração do SQL Server, todas as ligações do que o cliente irão pedir a encriptação SSL para qualquer servidor de SQL ao qual estabelece ligação esse cliente.

Se activar a Encriptação do protocolo de vigor no servidor, tem de instalar um certificado no servidor.

Se pretender activar a Encriptação do protocolo de força no cliente, tem de ter um certificado no servidor e o cliente tem de ter actualizado para o considerar fidedigno o certificado de servidor a autoridade de raiz fidedigna.

Nota Se estiver a utilizar o SQL Server para activar ligações encriptadas para uma instância do SQL Server, pode definir o valor da opção ForceEncryption como Sim. Para mais informações, consulte "Activar a encriptação ligações ao motor de base de dados (SQL Server Configuration Manager)" no SQL Server Books Online:

http://msdn.microsoft.com/en-us/library/ms191192 (v=sql.110). aspx #ConfigureServerConnections (http://msdn.microsoft.com/en-us/library/ms191192(v=sql.110).aspx#ConfigureServerConnections)

Instalar um certificado num servidor com o Microsoft Management Console (MMC)

Para utilizar a encriptação SSL, tem de instalar um certificado no servidor. Siga estes passos para instalar o certificado utilizando o snap-in da consola Microsoft Management Console (MMC).

Como configurar o Snap-in da MMC
  1. Para abrir o snap-in certificados, siga estes passos:
    1. Para abrir a consola da MMC, clique em Iniciare, em seguida, clique em Executar. No tipo de caixa de diálogo Executar :

      MMC
    2. No menu de consola , clique Adicionar/Remover Snap-in....
    3. Clique em Adicionare, em seguida, clique em certificados. Clique novamente em Adicionar .
    4. Lhe for pedido para abrir o snap-in para a conta de utilizador actual, a conta de serviço, ou para a conta de computador. Seleccione a conta de computador.
    5. Seleccione o Computador Locale, em seguida, clique em Concluir.
    6. Clique em Fechar na caixa de diálogo Adicionar Snap-in autónomo .
    7. Clique em OK na caixa de diálogo Adicionar/Remover Snap-in . Os certificados instalados estão localizados na pasta de certificados no contentor de pessoal .
  2. Utilize o snap-in da MMC para instalar o certificado no servidor:
    1. Clique para seleccionar a pasta pessoal no painel da esquerda.
    2. Botão direito do rato no painel da direita, aponte para Todas as tarefase, em seguida, clique em Pedir novo certificado....
    3. Abre a caixa de diálogo do Assistente de requisição de certificado . Clique em seguinte. Seleccione o certificado é de tipo "computador".
    4. Na caixa de texto Nome amigável pode escrever um nome amigável para o certificado ou deixe a caixa de texto em branco e, em seguida, conclua o assistente. Depois do assistente terminar, verá o certificado na pasta com o nome de domínio totalmente qualificado do computador.
    5. Se pretender activar a encriptação para um cliente específico ou clientes, ignorar este passo e avançar para o Activar a encriptação de um cliente específico secção deste artigo.

      Para o SQL Server 2000, a opção para activar a encriptação no servidor, abra o utilitário de rede no servidor onde o certificado está instalado e em seguida, clique para seleccionar o Forçar a encriptação do protocolo caixa de verificação. Reinicie o serviço MSSQLServer (SQL Server) para a encriptação tenha efeito. O servidor está agora pronto para utilizar a encriptação SSL.

      Para o SQL Server 2005 e versões posteriores, para activar a encriptação no servidor, abra o Gestor de configuração do SQL Server e proceda do seguinte modo:
      1. No SQL Server Configuration Manager, expanda a Configuração de rede do SQL Server, do rato em protocolos para<server instance=""></server>e, em seguida, seleccione Propriedades.
      2. No separador certificado , seleccione o certificado pretendido a partir do menu pendente do certificado e, em seguida, clique em OK.
      3. No separador sinalizadores , seleccione Sim na caixa de ForceEncryption e, em seguida, clique em OK para fechar a caixa de diálogo.
      4. Reinicie o serviço SQL Server.

Permitir que um certificado para SSL numa instalação do SQL Server em cluster

O certificado utilizado pelo SQL Server para encriptar ligações é especificado na seguinte chave do registo:

Server \ SQL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MicrosoftMSSQL.x\MSSQLServer\SuperSocketNetLib\Certificate

Esta chave contém uma propriedade do certificado conhecido como impressão digital que identifica cada certificado no servidor. Num ambiente de cluster, esta chave será definida como Null, apesar do certificado correcto existe no arquivo. Para resolver este problema, terá de efectuar estes passos adicionais em cada nós de cluster depois de instalar o certificado para cada nó):

  1. Navegue para o arquivo de certificados onde está armazenado o certificado do FQDN. Na página de propriedades para o certificado, vá para o separador de Detalhes e copie o valor de thumbprint do certificado para uma janela de bloco de notas.
  2. Remova os espaços entre os caracteres hexadecimais no valor de thumbprint no bloco de notas.
  3. Inicie o regedit, navegue para a seguinte chave de registo e copie o valor do passo 2:
    Server de SQL \ HKLM\SOFTWARE\Microsoft\Microsoft<instance></instance>\MSSQLServer\SuperSocketNetLib\Certificate
  4. Se o servidor virtual SQL está actualmente neste nó, a activação pós-falha para outro nó no cluster e, em seguida, reinicie o nó onde alterar o registo ocorreu.
  5. Repita este procedimento em todos os nós.

Para capturas de ecrã deste procedimento, consulte o seguinte blogue registar na MSDN:

http://blogs.msdn.com/b/jorgepc/Archive/2008/02/19/Enabling-Certificates-for-SSL-Connection-on-SQL-Server-2005-CLUSTERED-Installation.aspx (http://blogs.msdn.com/b/jorgepc/archive/2008/02/19/enabling-certificates-for-ssl-connection-on-sql-server-2005-clustered-installation.aspx)

Activar a encriptação de um cliente específico

Para o cliente pedir a encriptação SSL, o computador cliente tem de confiar no certificado de servidor e o certificado tem de já existir no servidor. Tem de utilizar o snap-in da MMC para exportar a autoridade de certificação de raiz fidedigna utilizado pelo certificado de servidor:
  1. Para exportar fidedigno raiz de autoridade de certificação (CA o certificado de servidor), siga estes passos:
    1. Abrir a MMC e, em seguida, localize o certificado na pasta pessoal .
    2. Botão direito do rato no nome do certificado e, em seguida, clique em Abrir.
    3. Rever o separador Caminho de certificação tenha em atenção o item superior a maior parte dos.
    4. Navegue para a pasta de Autoridades de certificação de raiz fidedigna e, em seguida, localize a autoridade de certificação que anotou no passo c..
    5. Com o botão direito AC, aponte para Todas as tarefase, em seguida, clique em Exportar.
    6. Seleccione todas as predefinições e, em seguida, guarde o ficheiro exportado no disco onde o computador cliente pode aceder ao ficheiro.
  2. Siga estes passos para importar o certificado no computador cliente:
    1. Navegar para o computador cliente utilizando o snap-in da MMC e, em seguida, navegue para a pasta de Autoridades de certificação de raiz fidedigna .
    2. Botão direito do rato na pasta de Autoridades de certificação de raiz fidedigna , aponte para Todas as tarefase, em seguida, clique em Importar.
    3. Localize e, em seguida, seleccione o certificado (ficheiro. cer), que gerou no passo 1. Seleccione as predefinições para concluir a parte restante do assistente.
    4. Utilize o utilitário de rede do cliente do SQL Server.
    5. Clique para seleccionar a opção de protocolo de força de encriptação . O cliente está agora pronto para utilizar a encriptação SSL.

Como testar a ligação do cliente

Para testar a ligação de cliente pode:
  • Utilize SQL Management Studio.

    - ou -
  • Utilize qualquer aplicação de ODBC ou OLEDB em que pode alterar a cadeia de ligação.
SQL Server Management Studio


Para testar com o SQL Server Management Studio, siga estes passos:
  1. Navegue para o SQL Server Client<version></version>Página de configuração no Gestor de configuração do servidor SQL.
  2. Nas janelas Propriedades, defina a opção de encriptação do protocolo de vigor para "Yes".
  3. Ligar ao servidor que esteja a executar o SQL Server utilizando o SQL Server Management Studio.
  4. Monitorize a comunicação utilizando o Monitor de rede da Microsoft ou um sniffer de rede.

ODBC ou OLEDB cadeias de ligação de amostra de aplicação

Se utilizar cadeias de ligação de ODBC ou OLEDB de um fornecedor, tal como SQL Native Client, adicionar a palavra-chave de encriptar e defina-o como true na cadeia da ligação e, em seguida, monitorizar a comunicação utilizando uma ferramenta como o MicrosoftMonitor de rede (http://www.microsoft.com/en-us/download/details.aspx?id=4865) ou um sniffer de rede

Resolução de problemas

Depois de instalar o certificado com êxito, o certificado não aparecer do Certificado listar na Certificado separador.

Nota O Certificado separador está no Protocolos para <InstanceName></InstanceName> Propriedades caixa de diálogo é aberta a partir do Gestor de configuração do servidor SQL.

Este problema ocorre porque poderá ter instalado um certificado inválido. Se o certificado é inválido, ele não será listado no Certificado separador. Para determinar se o certificado que tenha instalado é válido, siga estes passos:
  1. Abra o snap-in de certificados. Para tal, consulte o passo 1 da secção "Como configurar o Snap-in MMC".
  2. No snap-in certificados, expanda Pessoale, em seguida, expanda Certificados.
  3. No painel da direita, localize o certificado que instalou.
  4. Determine se o certificado cumpre os seguintes requisitos:
    • No painel da direita, o valor de Finalidade coluna para este certificado tem de ser Autenticação de servidor.
    • No painel da direita, o valor de Emitido para coluna tem de ser o nome do servidor.
  5. Faça duplo clique sobre o certificado e, em seguida, determine se o certificado cumpre os seguintes requisitos:
    • Sobre o Geral separador, recebe a seguinte mensagem:
      Tem uma chave privada que corresponde a este certificado.
    • Sobre o Detalhes separador, o valor para o Assunto campo deve ser o nome do servidor.
    • O valor para o Utilização de chave avançada campo tem de ser (De autenticação de servidor<number></number>).
    • Sobre o Caminho de certificação separador, o nome do servidor tem de aparecer em Caminho de certificação.
Se qualquer um destes requisitos não for cumprido, o certificado é inválido.

A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Standard Edition
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL 2005 Server Workgroup
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Express
  • Microsoft SQL Server 2008 Standard
  • Microsoft SQL Server 2008 Workgroup
  • Microsoft SQL Server 2008 R2 Datacenter
  • Microsoft SQL Server 2008 R2 Developer
  • Microsoft SQL Server 2008 R2 Enterprise
  • Microsoft SQL Server 2008 R2 Express
  • Microsoft SQL Server 2008 R2 Standard
  • Microsoft SQL Server 2008 R2 Web
  • Microsoft SQL Server 2008 R2 Workgroup
  • Microsoft SQL Server 2012 Developer
  • Microsoft SQL Server 2012 Enterprise
  • Microsoft SQL Server 2012 Express
  • Microsoft SQL Server 2012 Standard
  • Microsoft SQL Server 2012 Web
Palavras-chave: 
kbsqlsetup kbhowtomaster kbmt KB316898 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 316898  (http://support.microsoft.com/kb/316898/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft