Consultoria DBA SQL Server

Veja como configurar a criptografia SSL no SQL Server!

O Secure Sockets Layer (SSL) pode ser usado para criptografar dados transferidos em sua rede entre sua instância do SQL Server e um aplicativo.

Antes de mais nada, as etapas a seguir devem ser concluídas para configurar conexões SSL:

1. Obter um certificado que atenda aos requisitos
2. Instale o certificado no servidor
3. Ativar conexões criptografadas no SQL Server
4. Ativar criptografia no cliente

Requisitos de certificado do SQL Server

O primeiro passo para proteger as conexões é obter um certificado de segurança. Existem vários requisitos que devem ser cumpridos pelo certificado:

• Ele deve ser válido, portanto, a data e a hora atuais do sistema devem estar entre as propriedades Válido de e Válido até do certificado.
• O Nome Comum (CN) na propriedade Assunto do certificado deve ser o mesmo que o nome de domínio totalmente qualificado do computador servidor.
• Ele deve ser emitido para autenticação do servidor, portanto, a propriedade Enhanced Key Usage do certificado deve incluir ‘ Autenticação do servidor (1.3.6.1.5.5.7.3.1) ‘ (veja abaixo).

• Deve ser criado usando a opção KeySpec de ‘AT_KEYEXCHANGE’.
• Ele deve ser colocado no armazenamento de certificados do computador local ou do usuário atual.

É possível usar certificados auto-assinados, mas eu recomendo fazer isso apenas para fins de teste, porque isso reduz significativamente o nível de segurança.

Instalar o certificado do SQL Server usando o Microsoft Management Console

Se você obteve um certificado que atenda aos requisitos acima, deverá importá-lo para o armazenamento de certificados em seu servidor. Siga esses passos:

• Antes de tudo, abra o Microsoft Management Console (MMC): clique em Iniciar, clique em Executar e, na caixa de diálogo Executar, digite: MMC
• Em seguida, no menu Arquivo, clique em Adicionar/Remover Snap-in
• Logo após, selecione Certificados , clique em Adicionar.

• Você será solicitado a abrir o snap-in para sua conta de usuário, a conta de serviço ou a conta do computador. Selecione a conta de computador .
• Selecione o computador local e, em seguida, clique em Concluir.
• Posteriormente, clique em OK na caixa de diálogo Adicionar / remover snap-in.
• Clique para selecionar a pasta pessoal no painel esquerdo.
• Clique com o botão direito do mouse no painel à direita, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado.
• Clique em Avançar na caixa de diálogo Assistente para Solicitação de Certificados. Selecione o tipo de certificado “Computador”.
• Logo em seguida, você poderá inserir um nome amigável na caixa de texto, se desejar ou deixá-lo em branco, e depois concluir o assistente.
• Por fim, você deve ver o certificado na pasta com o nome de domínio totalmente qualificado do computador.

Configurando o SQL Server para aceitar conexões criptografadas

Você pode configurar o SSL usando o SQL Server Configuration Manager. Primeiro, você deve executar o SQL Server Configuration Manager na conta de serviço do SQL Server.

A única exceção é se o serviço estiver sendo executado como LocalSystem, NetworkService ou LocalService; nesse caso, você poderá usar uma conta administrativa.

• Expanda Configuração de Rede do SQL Server e clique com o botão direito do mouse em Protocolos para < YourMSSQLServer > e clique em Propriedades.
• Na guia Certificado , selecione o certificado que você gostaria de usar.
• Na guia Sinalizadores , selecione Sim na caixa ForceEncryption e clique em OK.
• Reinicie o serviço do SQL Server.

Configurando os clientes do SQL Server para usar conexões criptografadas

Você deve exportar o certificado do seu SQL Server e instalá-lo no computador cliente para estabelecer a criptografia.

1. Abra o Snap-in dos Certificados MMC conforme descrito acima.
2. Clique com o botão direito do mouse no certificado , aponte para Todas as tarefas e, em seguida, clique em Exportar .
3. Conclua o Assistente para Exportação de Certificados, armazenando o arquivo de certificado em um local selecionado.
4. Copie o certificado para o computador cliente.
5. Use o snap-in Certificados do MMC no computador cliente para instalar o arquivo de certificado exportado.
6. No SQL Server Configuration Manager, clique com o botão direito do mouse em Configuração do SQL Server Native Client e clique em Propriedades .
7. Na guia Sinalizadores , selecione Sim na caixa ForceEncryption e clique em OK .

Você também pode criptografar a conexão do SQL Server Management Studio:

1. Clique em Opções na caixa de diálogo Conectar ao Servidor .
2. Na guia Propriedades da Conexão, marque a caixa de seleção Criptografar a conexão.

Criptografia SSL para cluster de failover no SQL Server

Se acaso você desejar usar conexões criptografadas em um ambiente em cluster, deverá ter um certificado emitido para o nome DNS totalmente qualificado da instância clusterizada de failover e esse certificado deverá ser instalado em todos os nós do cluster de failover.

Além disso, você terá que editar a impressão digital do certificado no registro porque ele está definido como Nulo no ambiente em cluster.

As etapas a seguir devem ser executadas em todos os nós no cluster:

• Primeiramente, navegue até o certificado no snap-in Certificados do MMC e clique duas vezes para abrir o certificado.
• Em seguida, copie o valor hexadecimal da propriedade Impressão Digital na guia Detalhes para o Bloco de Notas e remova os espaços.
• Logo após, inicie o Regedit e copie o valor hexadecimal para essa chave: HKLM \ SOFTWARE \ Microsoft \ Microsoft SQL servidor \ <YourSQLServerInstance> \ MSSQLServer \ SuperSocketNetLib \ Certificate
• E por fim, você terá que reinicializar, portanto, recomenda-se fazer o failover para outro nó primeiro.