SQL Server Administração

Como Configurar a Criptografia SSL no SQL Server?

Posted on by Wesley MotaLeave a Comment on Como Configurar a Criptografia SSL no SQL Server?

Veja como configurar a criptografia SSL no SQL Server!

O Secure Sockets Layer (SSL) pode ser usado para criptografar dados transferidos em sua rede entre sua instância do SQL Server e um aplicativo.

Antes de mais nada, as etapas a seguir devem ser concluídas para configurar conexões SSL:

  1. Obter um certificado que atenda aos requisitos
  2. Instale o certificado no servidor
  3. Ativar conexões criptografadas no SQL Server
  4. Ativar criptografia no cliente

Requisitos de certificado do SQL Server

O primeiro passo para proteger as conexões é obter um certificado de segurança. Existem vários requisitos que devem ser cumpridos pelo certificado:

  • Ele deve ser válido, portanto, a data e a hora atuais do sistema devem estar entre as propriedades Válido de e Válido até do certificado.
  • O Nome Comum (CN) na propriedade Assunto do certificado deve ser o mesmo que o nome de domínio totalmente qualificado do computador servidor.
  • Ele deve ser emitido para autenticação do servidor, portanto, a propriedade Enhanced Key Usage do certificado deve incluir ‘ Autenticação do servidor (1.3.6.1.5.5.7.3.1) ‘ (veja abaixo).

SSL no SQL

  • Deve ser criado usando a opção KeySpec de ‘AT_KEYEXCHANGE’.
  • Ele deve ser colocado no armazenamento de certificados do computador local ou do usuário atual.

É possível usar certificados auto-assinados, mas eu recomendo fazer isso apenas para fins de teste, porque isso reduz significativamente o nível de segurança.

Instalar o certificado do SQL Server usando o Microsoft Management Console

Se você obteve um certificado que atenda aos requisitos acima, deverá importá-lo para o armazenamento de certificados em seu servidor. Siga esses passos:

  • Antes de tudo, abra o Microsoft Management Console (MMC): clique em Iniciar, clique em Executar e, na caixa de diálogo Executar, digite: MMC
  • Em seguida, no menu Arquivo, clique em Adicionar/Remover Snap-in
  • Logo após, selecione Certificados , clique em Adicionar.

Adicionar/Remover Snap-in

  • Você será solicitado a abrir o snap-in para sua conta de usuário, a conta de serviço ou a conta do computador. Selecione a conta de computador .
  • Selecione o computador local e, em seguida, clique em Concluir.
  • Posteriormente, clique em OK na caixa de diálogo Adicionar / remover snap-in.
  • Clique para selecionar a pasta pessoal no painel esquerdo.
  • Clique com o botão direito do mouse no painel à direita, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado.
  • Clique em Avançar na caixa de diálogo Assistente para Solicitação de Certificados. Selecione o tipo de certificado “Computador”.
  • Logo em seguida, você poderá inserir um nome amigável na caixa de texto, se desejar ou deixá-lo em branco, e depois concluir o assistente.
  • Por fim, você deve ver o certificado na pasta com o nome de domínio totalmente qualificado do computador.

Configurando o SQL Server para aceitar conexões criptografadas

Você pode configurar o SSL usando o SQL Server Configuration Manager. Primeiro, você deve executar o SQL Server Configuration Manager na conta de serviço do SQL Server.

A única exceção é se o serviço estiver sendo executado como LocalSystem, NetworkService ou LocalService; nesse caso, você poderá usar uma conta administrativa.

  • Expanda Configuração de Rede do SQL Server e clique com o botão direito do mouse em Protocolos para < YourMSSQLServer > e clique em Propriedades.
  • Na guia Certificado , selecione o certificado que você gostaria de usar.
  • Na guia Sinalizadores , selecione Sim na caixa ForceEncryption e clique em OK.
  • Reinicie o serviço do SQL Server.

Protocolos SQL Server

Configurando os clientes do SQL Server para usar conexões criptografadas

Você deve exportar o certificado do seu SQL Server e instalá-lo no computador cliente para estabelecer a criptografia.

  1. Abra o Snap-in dos Certificados MMC conforme descrito acima.
  2. Clique com o botão direito do mouse no certificado , aponte para Todas as tarefas e, em seguida, clique em Exportar .
  3. Conclua o Assistente para Exportação de Certificados, armazenando o arquivo de certificado em um local selecionado.
  4. Copie o certificado para o computador cliente.
  5. Use o snap-in Certificados do MMC no computador cliente para instalar o arquivo de certificado exportado.
  6. No SQL Server Configuration Manager, clique com o botão direito do mouse em Configuração do SQL Server Native Client e clique em Propriedades .
  7. Na guia Sinalizadores , selecione Sim na caixa ForceEncryption e clique em OK .

Você também pode criptografar a conexão do SQL Server Management Studio:

  1. Clique em Opções na caixa de diálogo Conectar ao Servidor .
  2. Na guia Propriedades da Conexão, marque a caixa de seleção Criptografar a conexão.

Encrypt Connection SQL Server

Criptografia SSL para cluster de failover no SQL Server

Se acaso você desejar usar conexões criptografadas em um ambiente em cluster, deverá ter um certificado emitido para o nome DNS totalmente qualificado da instância clusterizada de failover e esse certificado deverá ser instalado em todos os nós do cluster de failover.

Além disso, você terá que editar a impressão digital do certificado no registro porque ele está definido como Nulo no ambiente em cluster.

As etapas a seguir devem ser executadas em todos os nós no cluster:

  • Primeiramente, navegue até o certificado no snap-in Certificados do MMC e clique duas vezes para abrir o certificado.
  • Em seguida, copie o valor hexadecimal da propriedade Impressão Digital na guia Detalhes para o Bloco de Notas e remova os espaços.
  • Logo após, inicie o Regedit e copie o valor hexadecimal para essa chave: HKLM \ SOFTWARE \ Microsoft \ Microsoft SQL servidor \ <YourSQLServerInstance> \ MSSQLServer \ SuperSocketNetLib \ Certificate
  • E por fim, você terá que reinicializar, portanto, recomenda-se fazer o failover para outro nó primeiro.
Como Configurar a Criptografia SSL no SQL Server?
The following two tabs change content below.
My Twitter profileMy Facebook profileMy LinkedIn profile

Wesley Mota

DBA SQL Server
Profissional graduado em Banco de Dados e Sistemas de Informação com mais de 7 anos de experiência em empresas de software. Certificado MCSA Microsoft SQL Server possui intensa vivência em administração de banco de dados, Tunning, Performance SQL Server, levantamento de melhorias e monitoramento de banco de dados e servidores SQL Server. Consultoria SQL Server em diversos clientes no Brasil e ao redor do mundo. Escritor no blog dbasqlserverbr.com.br/blog. Onde compartilha conhecimento, experiências e dicas de performance para DBAs SQL Server. Conhecimentos em Oracle e ambientes de alta disponibilidade. Desenvolvimento de softwares web e mobile.Gerenciamento de equipe e projetos.
My Twitter profileMy Facebook profileMy LinkedIn profile

Latest posts by Wesley Mota (see all)